Smlouva

Smlouva

o dodávce, implementaci a údržbě systému pro bezpečnostní monitoring a analýzu síťových událostí

uzavřená podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“) a zákona č. 121/2000 Sb., o právu autorském,

o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů (dále jen „autorský zákon“),

mezi:

Českou národní bankou

Na Příkopě 28

115 03 Praha 1

zastoupenou: Ing. Xxxxxxx Xxxxxxxxx, ředitelem sekce informatiky

a

Ing. Xxxxxxx Xxxxxxxx, ředitelem sekce správní IČO: 48136450

DIČ: CZ48136450

(dále jen „objednatel“ nebo také „ČNB“)

a

ANECT a.s

Purkyňova 646/107

612 00 Brno – Medlánky

zastoupenou: Xxxxxx Xxxxxx, členem představenstva IČO: 25313029

DIČ: CZ25313029

číslo účtu: 27-6667590237/0100

(dále jen „dodavatel“)

Článek I

Předmět, rozsah a místo plnění

1. Předmětem této smlouvy je povinnost dodavatele dodat HW a SW komponenty systému pro nepřetržitý bezpečnostní monitoring a analýzu síťových událostí dle specifikace uvedené v příloze č. 2 této smlouvy. Předmětem této smlouvy je dále povinnost dodavatele tyto HW komponenty nainstalovat a implementovat, a to včetně dodání příslušných licencí, které tuto implementaci plně pokrývají (dále též „dílo“). Předmětem této smlouvy je také povinnost dodavatele provést zaškolení zaměstnanců objednatele dle této smlouvy.

2. Předmětem této smlouvy je dále závazek dodavatele poskytovat objednateli podporu podle čl. VI této smlouvy, a to ode dne podpisu závěrečného akceptačního protokolu oběma smluvními stranami.

3. Plnění dle odstavce 1 tohoto článku musí splňovat všechny funkční požadavky uvedené

v příloze č. 2 této smlouvy.

4. Dodavatel se zavazuje zajistit, že veškeré technické prostředky (HW), které jsou součástí díla, budou nové a nepoužité (maximálně zahořelé z výroby, popř. zapnuté pro ověření funkčnosti) a musí být spolu s poskytnutými programovými prostředky (SW) výrobcem určeny pro evropský trh, pakliže výrobce takové určení provádí. Dodavatel je po dobu

účinnosti této smlouvy povinen na požádání objednateli doložit skutečnost, že HW a SW je určen pro evropský trh, pakliže výrobce takové určení provádí, a to do 5 pracovních dnů ode dne doručení požadavku objednatele.

5. Dodavatel se zavazuje v rámci realizace díla nainstalovat v prostředí objednatele nejnovější, stabilní verzi software, která bude výrobcem v době plnění uvedena na trh.

6. Místem plnění budou prostory výpočetních středisek v objektech objednatele na adrese: Xx Xxxxxxx 00, 000 00 Xxxxx 0 x Xxxxxxxxxxxx 000/00, 000 00 Xxxxx 00.

7. Předmětem této smlouvy je závazek objednatele poskytnout dodavateli potřebnou součinnost a zaplatit za poskytnutá plnění ceny dle čl. V této smlouvy.

8. Dodavatel bere na vědomí, že mu nebude umožněn přímý vzdálený přístup k žádné součásti dodaného systému.

Článek II Průběh plnění

Plnění podle čl. I odst. 1 této smlouvy bude realizováno v následujících fázích, které budou předmětem akceptace podle článku IV této smlouvy, takto:

1. Fáze 1 – Ověření přítomnosti deklarovaných technických vlastností a vypracování

realizační studie.

Objednatel v referenčním prostředí dodavatele ověří, že systém obsahuje všechny funkcionality požadované objednatelem v příloze č. 2 této smlouvy. Pokud není možné konkrétní vlastnost empiricky ověřit (např. požadovaná propustnost systému), stvrzuje dodavatel svým podpisem v níže popsaném protokolu, že systém touto vlastností disponuje a dodavatel je schopný funkcionalitu v prostředí objednatele v požadované kvalitě implementovat. Výstupem ověření bude protokol s názvem „Ověření přítomnosti technických požadavků objednatele“, jehož základem bude příloha č. 2 této smlouvy. Protokol bude podepsán alespoň jednou z pověřených osob obou smluvních stran.

V případě, že systém v referenčním prostředí dodavatele nesplní všechny technické požadavky objednatele dle přílohy č. 2 této smlouvy, je objednatel opravněn od smlouvy odstoupit dle čl. XIII odst. 4 této smlouvy.

V případě, že jsou všechny technické podmínky objednatele splněny, se dodavatel zavazuje na základě analýzy systémového prostředí ČNB vypracovat realizační studii, ve které bude uveden podrobný implementační postup a detailní popis cílového stavu dodávaného díla.

Realizační studie bude obsahovat minimálně:

a) detailní popis architektury systému dodávaného díla,

b) podrobný návrh postupu implementace díla (harmonogram),

c) podrobný návrh organizačního zabezpečení nezbytného pro provádění díla,

d) popis nároků na poskytnutí nezbytné organizační a technické součinnosti ze strany

objednatele,

e) popis akceptačních testů (funkční a zátěžové) nezbytných pro ověření splnění všech požadovaných vlastností díla dle přílohy č. 2 této smlouvy,

f) podrobný harmonogram provádění všech dalších fází díla v prostředí ČNB při respektování lhůt dle čl. III odst. 1 této smlouvy,

g) návrh základní sady dashboardů a reportů ve webovém rozhraní systému.

Dodavatel se zavazuje předat řádně zpracovanou realizační studii k dílčí akceptaci objednateli ve lhůtě stanovené v čl. III odst. 1 této smlouvy.

Řádně zpracovanou realizační studii předá dodavatel objednateli v jednom vyhotovení

v elektronické podobě v českém jazyce, ve formátech DOCX nebo PDF.

Lhůty v objednatelem akceptovaném harmonogramu v realizační studii musí být v souladu se lhůtami podle čl. III této smlouvy a budou pro dodavatele závazné. Lhůty v harmonogramu s výjimkou lhůt podle čl. III odst. 1 této smlouvy lze měnit písemnou dohodou pověřených osob smluvních stran (bez povinnosti uzavření dodatku k této smlouvě).

2. Fáze 2 – kompletní dodávka HW komponent a SW, příslušných licencí, jejich instalace a konfigurace v systémovém prostředí ČNB. Tato fáze v sobě zahrnuje nejméně následující kroky, které budou řádně zdokumentované:

a) kompletní dodávka HW serverů pro systém síťového monitoringu včetně jejich instalace a konfigurace, instalace SW a řádné zalicencování všech komponent. Součástí dodávky bude minimálně:

- dodávka serverů s příslušenstvím dle specifikace uvedené v příloze č. 1 této smlouvy (dále jen „servery“) a splňujících veškeré technické požadavky objednatele uvedené v příloze č. 2 této smlouvy,

- instalace dodaných serverů do racku objednatele včetně připojení všech potřebných konektorů,

- konfigurace BIOS/UEFI serverů – aktuální stabilní verze doporučovaná výrobcem, včetně optimálního nastavení s ohledem na výkon a provozní power management,

- konfigurace HW komponent serverů, zejména konfigurace lokálně instalovaných SSD disků a síťových rozhraní,

- konfigurace komponent pro vzdálený přístup k serverům z prostředí objednatele, instalace dodaného operačního systému a potřebných ovladačů HW komponent serveru, včetně případné licence,

- nastavení vzdálených repositářů pro stahování aktualizací operačního systému

a softwaru systému pro bezpečnostní monitoring síťových událostí,

- instalace nejnovější stabilní verze softwaru pro bezpečnostní monitoring a analýzu síťových událostí vydaného výrobcem na HW dodaný dle specifikace stanovené v rámci přílohy č. 1 této smlouvy,

- vytvoření základních uživatelských účtů a skupin,

- vytvoření základních dashboardů,

- vytvoření základních manažerských a technických reportů bezpečnostních událostí;

b) po dokončení konfigurace provedení zálohy nastavení díla pro případnou obnovu

po havárii díla nebo jeho součásti;

c) ověření přítomnosti a funkčnosti všech vlastností požadovaných v příloze č. 2 této smlouvy, za přítomnosti zástupce objednatele;

d) provedení zátěžových testů dokazujících požadovanou propustnost systému;

e) zaškolení administrátorů a operátorů (zaměstnanců objednatele) v časovém rozsahu 3 člověkodnů a ve věcném rozsahu umožňujícím provádět:

- běžný rutinní provoz a údržbu dodávaného díla,

- řešení obvyklých problémů,

- správu uživatelských oprávnění,

- monitoring stavu dodaného díla,

- zálohování a obnovu konfigurace,

- tvorbu pohledů, reportů, dashboardů apod.,

- investigaci a vyhodnocování bezpečnostních událostí generovaných systémem;

f) vytvoření a předání dokumentace xxxxxxxx díla v elektronické podobě, ve formátech MS Office nebo PDF zahrnující minimálně:

- popis funkčního schématu dodaného díla, včetně zapojení a konfigurace,

- postup implementace díla,

- postupy pravidelné údržby díla,

- postupy diagnostiky a monitorování stavu díla,

- postupy řešení havarijních stavů celého díla,

- postupy zálohování, archivace a obnovy konfigurace systému díla a dat.

V případě, že v průběhu ověřování vlastností či zátěžových testů podle písm. c) nebo d) odstavce 2 tohoto článku objednatel zjistí, že dílo nesplňuje požadované vlastnosti, je dodavatel povinen vyřešit tento nesoulad úpravou konfigurace software nebo hardware dodaného díla, a to do 10 pracovních dnů ode dne, kdy objednatel dodavateli písemně sdělí nalezené nedostatky. O tuto dobu se prodlužuje lhůta pro předání plnění realizovaného v rámci Fáze 2 dle čl. III odst. 1 písm. b).

V případě, že dodavatel není schopný nedostatky odstranit, je objednatel oprávněn od smlouvy odstoupit dle čl. XIII odst. 4 této smlouvy a požadovat po dodavateli smluvní pokutu dle čl. XI odst. 13 této smlouvy.

3. Fáze 3 – ověřovací provoz.

Po dobu 1 měsíce od podpisu dílčího akceptačního protokolu Fáze 2 bude bez přerušení probíhat ověřovací provoz v režimu standardního provozu objednatele a za součinnosti dodavatele, spočívající v odstraňování vad implementace a konfigurace za podmínek stanovených v čl. VI této smlouvy. Cílem je ověřit v delším časovém horizontu stabilitu a provozní spolehlivost díla.

Za funkční dílo objednatel považuje stav, kdy systém v rámci ověřovacího provozu splňuje požadavek na dostupnost díla a všechny technické požadavky objednatele dle přílohy č. 2 této smlouvy.

Článek III

Lhůty plnění, součinnost, pověřené osoby

1. Dodavatel se zavazuje ukončit jednotlivé fáze díla a dílo předat objednateli v následujících lhůtách:

a) plnění v rámci Fáze 1 dle čl. II odst. 1 této smlouvy je dodavatel povinen předat k akceptaci dle čl. IV této smlouvy nejpozději do 40 pracovních dnů ode dne účinnosti této smlouvy;

b) plnění v rámci Fáze 2 dle čl. II odst. 2 této smlouvy je dodavatel povinen předat k akceptaci nejpozději do 30 pracovních dnů ode dne podpisu akceptačního protokolu Fáze 1;

c) plnění v rámci Fáze 3 dle čl. II odst. 3 této smlouvy je dodavatel povinen ukončit

a předat dílo objednateli v souladu s čl. IV odst. 4 této smlouvy nejpozději

do 30 pracovních dnů ode dne podpisu akceptačního protokolu Fáze 2.

2. Lhůtu(y) uvedenou(é) v čl. III odst. 1 je oprávněna kterákoliv z pověřených osob objednatele, na písemnou a odůvodněnou žádost dodavatele, přiměřeně okolnostem prodloužit, pokud dodavatel objektivně nemohl pokračovat v plnění dle této smlouvy z důvodu, že mu objednatel neposkytl povinnou a nezbytnou součinnost, nebo z důvodu skutečností stojících na straně dodavatele, které ani dodavatel jednající s náležitou péčí nemohl předvídat a které sám nezpůsobil (včetně např. výpadku či zdržení v dodavatelsko- odběratelském řetězci, výpadku v pracovní síle dodavatele z důvodu opatření uložených orgány veřejné moci, nikoli v důsledku protiprávního jednání dodavatele, zdržení v plnění jiných smluvních partnerů objednatele, které se plnění dle této smlouvy dotýká a které nebylo způsobeno objednatelem). Písemná žádost dodavatele musí obsahovat i návrh prodloužení lhůt(y), ten však není pro pověřené osoby objednatele závazný. Úprava lhůt(y) bude provedena formou dodatku k této smlouvě.

3. Objednatel se zavazuje vytvořit dodavateli k instalaci a implementaci HW a SW dle této

smlouvy potřebné podmínky, zejména:

a) zajistit přístup odborných pracovníků dodavatele ke klientskému zařízení, z něhož bude realizována implementace SW,

b) připravit pro instalaci HW a SW potřebné technické prostředky (konkrétní požadavky nadefinuje dodavatel v rámci realizační studie).

4. Pověřenými osobami jsou:

a) za objednatele:

b) za dodavatele:

el. č.: tel. č

el. č.:

, tel. č.

-mail: e-mai

e-mail:

, e-ma

5. V případě změny pověřených osob smluvních stran nebo jejich kontaktních údajů jsou smluvní strany povinny nahlásit změnu následující pracovní den po provedení změny na e-mailové adresy pověřených osob druhé smluvní strany. Změna osob je účinná dnem jejího oznámení druhé smluvní straně, a to bez povinnosti uzavírat dodatek k této smlouvě.

Článek IV

Akceptace díla

1. Společně s řádně zpracovanou realizační studií předloží dodavatel objednateli i návrh dílčího akceptačního protokolu č. 1 za účelem akceptace Fáze 1. Nejpozději ve lhůtě 5 pracovních dnů ode dne předání realizační studie rozhodne objednatel o akceptaci Fáze 1 podpisem dílčího akceptačního protokolu č. 1, nebo studii odmítne akceptovat. Protokol bude podepsán alespoň jednou z pověřených osob obou smluvních stran.

Objednatel Fázi 1 akceptuje, pokud bude realizační studie obsahovat všechny náležitosti stanovené v čl. II odst. 1 této smlouvy a návrh díla popsaný v realizační studii bude splňovat všechny podmínky stanovené v této smlouvě, včetně požadavků stanovených v přílohách č. 1 a 2 této smlouvy.

V případě, že objednatel Fázi 1 neakceptuje z důvodů nedostatků, předá objednatel seznam

těchto nedostatků dodavateli a poskytne mu 5 pracovních dnů na jejich odstranění. Lhůta

pro plnění Fáze 1 dle čl. III. odst. 1 písm. a) této smlouvy se o tuto dobu prodlužuje. Do okamžiku akceptace Fáze 1 je objednatel oprávněn od smlouvy kdykoliv odstoupit uhrazením odstupného v souladu s čl. XIII odst. 10 této smlouvy.

2. Po dokončení Fáze 2 podle čl. II odst. 2 této smlouvy předloží dodavatel plnění v rámci Fáze 2 objednateli k akceptaci. Akceptační řízení bude objednatelem provedeno do 5 pracovních dnů od předložení plnění k akceptaci. O výsledku akceptačního řízení Fáze 2 bude objednatelem sepsán dílčí akceptační protokol č. 2, který bude podepsán alespoň jednou z pověřených osob obou smluvních stran.

Pokud objednatel odmítne Fázi 2 akceptovat z důvodu nedostatků, poskytne objednatel dodavateli 5 pracovních dnů na odstranění těchto nedostatků, pokud se pověřené osoby smluvních stran nedohodnou jinak.

Pokud dodavatel nedostatky zjištěné ve Fázi 2 ve lhůtě neodstraní, má objednatel možnost od smlouvy odstoupit. V takovém případě může objednatel požadovat po dodavateli smluvní pokutu dle článku XI odst. 13 této smlouvy.

3. V případě akceptace Fáze 2 bude následující pracovní den zahájen ověřovací provoz podle

čl. II odst. 3 této smlouvy.

4. Po úspěšném ukončení ověřovacího provozu dle článku II. odst. 3 v rámci Fáze 3 bude objednatelem sepsán závěrečný akceptační protokol, který bude podepsán alespoň jednou pověřenou osobou za každou smluvní stranu a na základě kterého bude dílo předáno.

Pokud se v rámci ověřovacího provozu ukáže, že dílo nesplňuje požadavky podle čl. II odst. 3 této smlouvy, má dodavatel 10 pracovních dnů na odstranění zjištěných nedostatků. Po odstranění nedostatků dodavatelem je opakována Fáze 3 v plném rozsahu. Lhůta podle čl. III odst. 1 písm. c) této smlouvy se o tuto dobu prodlužuje.

5. Pokud dodavatel nedostatky zjištěné ve Fázi 3 ve lhůtě neodstraní, má objednatel možnost od smlouvy odstoupit. V takovém případě může objednatel požadovat po dodavateli smluvní pokutu dle článku XI odst. 13 této smlouvy.

6. Pokud objednatel pro vady kteroukoliv Fázi neakceptuje, uvede to vždy v příslušném dílčím či závěrečném akceptačním protokolu spolu s odůvodněním. V případě akceptace kterékoliv Fáze s drobnými vadami bude akceptační protokol obsahovat výčet vad, způsob a lhůtu pro jejich odstranění.

7. Objednatel převezme dílo pouze tehdy, pokud:

a) dodavatel dodal, nainstaloval a implementoval veškeré HW a SW komponenty dle této smlouvy včetně jejich konfigurace;

b) byly splněny veškeré požadavky objednatele uvedené v příloze č. 2 této smlouvy;

c) dodavatel úspěšně provedl zátěžové testy;

d) dodavatel řádně zalicencoval všechny součásti díla;

e) dodavatel odstranil veškeré vady, které mu objednatel ohlásil v rámci všech tří akceptačních procesů, s výjimkou případu, kdy byla provedena akceptace s drobnými vadami;

f) dodavatel provedl dílo v souladu s akceptovanou realizační studií, nebylo-li smluvními stranami dohodnuto jinak;

g) dodavatel předal objednateli kompletní dokumentaci díla.

8. Dodavatel plně odpovídá za to, že dodané dílo bude plně funkční a schopno použití

v prostředí objednatele.

Článek V

Cena plnění a platební podmínky

1. Xxxx za instalaci a implementaci díla podle čl. I odst. 1 této smlouvy je stanovena

jednorázově a činí celkem 594 000 Kč bez DPH.

2. Cena za dodaný HW podle čl. I odst. 1 této smlouvy a dle specifikace v příloze č. 2 této smlouvy je stanovena jednorázově a činí 2 057 000 Kč bez DPH.

3. Cena za dodané programové prostředky vč. licencí dle specifikace uvedené v příloze č. 2 této smlouvy je stanovena jednorázově a činí 2 168 000 Kč bez DPH.

4. Cena za podporu HW od výrobce podle článku VI odst. 1 a) této smlouvy je stanovena

paušálně a činí ročně 0 Kč bez DPH.

5. Cena za podporu SW od výrobce podle článku VI odst. 1 b) této smlouvy je stanovena

paušálně a činí ročně 1 320 000 Kč bez DPH.

6. Cena za podporu v místě plnění dle čl. VI odst. 1 písm. c) této smlouvy v rozsahu 8 MD ročně je stanovena paušálně a činí ročně 160 000 Kč bez DPH.

7. Cena za podporu v místě plnění dle čl. VI odst. 1 písm. c) této smlouvy nad limit stanovený v odst. 6 tohoto článku smlouvy bude stanovena jako součin počtu skutečně odpracovaných hodin a hodinové sazby, která činí 2 500 Kč bez DPH.

8. Cena za zaškolení dle čl. II odst. 2 písm. e) činí 0 Kč bez DPH.

9. K cenám uvedeným v odstavcích 1 až 8 tohoto článku bude účtována DPH v sazbě platné v den uskutečnění zdanitelného plnění. Ceny zahrnují veškeré náklady dodavatele spojené s plněním podle této smlouvy (včetně nákladů na náhradní díly HW dodávaných v rámci podpory, dopravy a ztráty času techniků na cestě).

10. Dodavateli bude poskytnuta záloha ve výši 80 % z ceny díla v Kč bez DPH sestávající z cen uvedených v odst. 1 až 3 tohoto článku, a to po podpisu dílčího akceptačního protokolu Fáze 2 pověřenou osobou objednatele dle čl. IV odst. 2 této smlouvy.

11. Daňový doklad na cenu díla podle odstavce 1 až 3 a cenu zaškolení dle odst. 8 tohoto článku je dodavatel oprávněn vystavit po podpisu závěrečného akceptačního protokolu objednatelem, přičemž v tomto daňovém dokladu bude odečtena záloha poskytnutá dle odstavce 10 tohoto článku.

12. Úhrada paušální ceny podpory dle odstavce 4 až 6 tohoto článku bude objednatelem

xxxxxxx předem následovně:

a) první daňový doklad je dodavatel oprávněn vystavit po podpisu závěrečného akceptačního protokolu pověřenými osobami obou smluvních stran dle čl. IV odst. 4, a to za celý první rok poskytování podpory;

b) další daňové doklady je dodavatel oprávněn vystavit vždy nejdříve 14 dnů před koncem předplacené doby podpory.

13. Cena za podporu na místě dle čl. VI odst. 1 písm. c) této smlouvy nad limit stanovený v odst. 6 tohoto článku bude objednatelem hrazena na základě daňového dokladu vystaveného dodavatelem nejdříve poslední den kalendářního měsíce, ve kterém bylo příslušné plnění řádně poskytnuto. Kopie výkazu práce dle čl. VI odst. 9 podepsaného objednatelem bude tvořit nedílnou přílohu daňového dokladu.

14. Doklad k úhradě (fakturu) zašle dodavatel elektronicky jako přílohu e-mailové zprávy na adresu xxxxxxx@xxx.xx ve formátu ISDOC. Pokud není možné vytvořit doklad ve formátu ISDOC, je možné zasílat jej ve formátu PDF. V jedné e-mailové zprávě smí být pouze jeden doklad k úhradě. Mimo vlastní doklad k úhradě může být přílohou e-mailové zprávy jedna až sedm příloh k dokladu ve formátech PDF, DOC, DOCX, XLS, XLSX. Přijaty budou i doklady k úhradě v jiném formátu, který bude v souladu s evropským standardem elektronické faktury. Nebude-li možné zaslat doklad k úhradě elektronicky, zašle jej dodavatel v analogové formě na adresu:

Česká národní banka

sekce rozpočtu a účetnictví odbor účetnictví

Na Příkopě 28

115 03 Praha 1

15. Doklad k úhradě bude obsahovat údaje podle § 435 občanského zákoníku a bankovní účet, na který má být placeno a který je uveden v záhlaví této smlouvy nebo který byl později aktualizován dodavatelem (dále jen „určený účet“). Daňový doklad bude nadto obsahovat náležitosti stanovené v zákoně o dani z přidané hodnoty. Nezbytnou náležitostí každého dokladu je také číslo této smlouvy (ve formátu ISDOC v poli ID ve skupině Contract References), nebo číslo objednávky (ve formátu ISDOC v poli External_Order_ID ve skupině OrderReference), jsou-li objednávky v rámci smlouvy vystavovány. Pokud doklad bude postrádat některou ze stanovených náležitostí nebo bude obsahovat chybné údaje, je objednatel oprávněn jej vrátit dodavateli, a to až do lhůty splatnosti. Nová lhůta splatnosti začíná běžet dnem doručení bezvadného dokladu.

16. V případě, že bude v dokladu k úhradě uveden jiný než určený účet, je pověřená osoba dodavatele povinna na základě výzvy objednatele sdělit na e-mailovou adresu, ze které byla výzva odeslána, zda má být zaplaceno na bankovní účet uvedený v dokladu, nebo na určený účet. V tomto případě se doklad k úhradě nevrací s tím, že lhůta splatnosti začíná běžet až dnem doručení sdělení dodavatele podle předchozí věty.

17. Splatnost daňového dokladu je 14 dnů od doručení objednateli. Povinnost zaplatit je splněna odepsáním příslušné částky z účtu objednatele ve prospěch účtu dodavatele.

18. Smluvní strany se dohodly, že objednatel je oprávněn započíst jakoukoli svou peněžitou pohledávku za dodavatelem, ať splatnou či nesplatnou, oproti jakékoli peněžité pohledávce dodavatele za objednatelem, ať splatné či nesplatné.

19. Dodavatel je oprávněn navrhnout změnu paušální ceny za podporu dle odst. 4 až 6 tohoto článku či hodinové sazby za podporu dle odst. 7 tohoto článku v návaznosti na vývoj indexu cen tržních služeb, stejné období předchozího roku = 100, konkrétně index „J62“ Služby v oblasti programování a poradenství, sloupec „Průměr od počátku roku“, a to průměr za předchozí kalendářní rok, který vyhlašuje Český statistický úřad. Ceny mohou být zvýšeny maximálně o částku odpovídající předmětné roční inflaci. Úprava ceny bude provedena formou dodatku ke smlouvě. První úpravu cen může dodavatel navrhnout nejdříve po uplynutí 1 roku od zahájení podpory dle čl. I odst. 2 této smlouvy.

Článek VI Podpora

1. Podpora díla dle čl. I odst. 2 této smlouvy zahrnuje:

a) odstraňování jakýchkoliv vad dodaného HW,

b) poskytování veškerých aktualizací dodaného SW (nové verze, opravné verze, bezpečnostní záplaty),

c) podporu v místě plnění, která bude spočívat zejména v následujících činnostech:

- řešení/odstraňování závad/problémů dodaného SW,

- implementace aktualizací dodaného SW,

- konzultace v místě plnění zejména k problematice úpravy konfigurace, včetně doporučení na optimalizaci výkonu, zvýšení dostupnosti, bezpečnosti celého díla, interpretaci analytických výstupů apod.

2. Potřebu podpory ohlašuje objednatel dodavateli v pracovní době objednatele

(7:45 – 16:00 hod.) telefonicky na telefonní číslo dodavatele

s následným písemným potvrzením na e-mailovou adresu dodavatele xxxxxxxxxxx@xxxxx.xxx nebo pouze e-mailem na výše uvedenou e-mailovou adresu dodavatele. Ohlášení učiněná po pracovní době objednatele se považují za ohlášení učiněná následující pracovní den, v čase odpovídajícím začátku uvedené pracovní doby objednatele.

3. Dodavatel je povinen potvrdit přijetí ohlášení dle odst. 2 tohoto článku smlouvy nejpozději do 4 pracovních hodin od ohlášení, a to na e-mailovou adresu pověřené osoby objednatele dle čl. III odst. 4 této smlouvy, není-li v této smlouvě stanoveno dále jinak. Potvrzení přijetí ohlášení u podpory dle odst. 1 písm. a) nebo b) tohoto článku nemá vliv na lhůty stanovené v tomto článku.

4. Odstraňování vad HW dle odst. 1 písm. a) tohoto článku se zavazuje dodavatel provádět v pracovní době objednatele v místě plnění s tím, že vady HW je povinen dodavatel odstranit nejpozději do 2 pracovních dnů ode dne jejich ohlášení dle této smlouvy, nedohodnou-li se smluvní strany jinak.

5. V případě, že po odstranění vady HW nebude funkční SW nebo jeho část, případně dojde ke změně konfigurace serveru nebo některé HW komponenty, zavazuje se je dodavatel uvést do funkčního stavu, a to nejpozději do 1 pracovního dne po odstranění vady HW nebo po ohlášení vady SW objednatelem dle této smlouvy, nedohodnou-li se smluvní strany jinak.

6. Dodavatel poskytne objednateli aktualizace SW dle odst. 1 písm. b) tohoto článku bez zbytečného odkladu, nejpozději však do 14 dnů od uvedení výrobcem na trh, nedohodnou-li se smluvní strany jinak.

7. Dodavatel je povinen nahlásit případnou změnu kontaktních údajů uvedených v odstavci 2 tohoto článku nejpozději následující pracovní den po provedení změny na e-mailové adresy pověřených osob objednatele. Změna je účinná dnem jejího oznámení druhé smluvní straně, a to bez povinnosti uzavírat dodatek k této smlouvě.

8. Podpora poskytovaná dodavatelem musí vyhovovat technickým specifikacím

a požadavkům výrobce dodaných HW a SW prostředků.

9. Konkrétní termín provedení podpory dle odst. 1 písm. c) tohoto článku stanoví objednatel, nedohodnou-li se smluvní strany na konkrétním termínu. Dodavatel vyhotoví o poskytnuté podpoře dle odst. 1 písm. c) tohoto článku v daném měsíci výkaz práce, který bude obsahovat tyto údaje:

a) evidenční číslo požadavku,

b) stručná specifikace požadavku,

c) způsob vyřízení požadavku,

d) datum vyřízení požadavku,

e) celkový počet hodin provedené práce.

Správnost údajů uvedených ve výkazu práce bude potvrzena podpisem kterékoliv

z pověřených osob za objednatele.

Článek VII

Přechod nebezpečí škody a vlastnické právo

Vlastnické právo k HW prostředkům dle této smlouvy přechází na objednatele dnem podpisu závěrečného akceptačního protokolu. SW prostředky poskytnuté podle této smlouvy je objednatel oprávněn užívat od okamžiku jejich instalace/implementace v místě plnění na dodávané HW prostředky. Nebezpečí škody na HW prostředcích přechází na objednatele dnem jejich instalace dodavatelem dle článku II odst. 2 této smlouvy.

Článek VIII

Licenční ujednání

1. Dodavatel poskytuje objednateli nevýhradní, nepřevoditelné, nedělitelné a časově ani teritoriálně neomezené oprávnění k výkonu práva užívat programové prostředky dodané dle této smlouvy a dle účelu této smlouvy. Právo užívání programových prostředků přechází na objednatele dnem jejich instalace/implementace na dodávané HW prostředky v místě plnění.

2. Dále dodavatel poskytuje objednateli nevýhradní, časově a místně neomezené oprávnění užívat realizační studii, technické dokumentace díla dodané dle této smlouvy, a to i v podobě jakýchkoliv jejich návrhů, ke všem způsobům užití, zejména, avšak nikoliv výlučně, ke způsobům užití podle § 12 odst. 4 autorského zákona, kdy tato práva nabude objednatel okamžikem jejich poskytnutí dodavatelem. Součástí této licence je i souhlas se zveřejněním (sdělováním veřejnosti) studie či dokumentací, a to i dálkově a hromadně účinným způsobem s tím, že poskytnutím studie či dokumentací objednateli se objednatel současně stává vlastníkem médií, na kterých jsou zachyceny. Objednatel může jakékoli oprávnění tvořící součást zde uvedeného oprávnění zcela nebo zčásti poskytnout třetí osobě, a to i bezúplatně. Objednatel je oprávněn sám nebo prostřednictvím třetí osoby studii nebo dokumentace nebo jejich části měnit, upravovat, zpracovávat, spojovat s jiným (autorským) dílem/prvky či zařazovat do (autorského) díla souborného.

3. Objednatel není povinen využít poskytnuté licenční oprávnění dle tohoto článku smlouvy.

4. Dodavatel prohlašuje, že je právo dle odstavce 1 či 2 tohoto článku smlouvy oprávněn poskytnout a že na něm neváznou žádná práva třetích osob, která by poskytnutí bránila, jinak odpovídá za škodu tím způsobenou.

5. Licence poskytnuté dle této smlouvy se vztahují i na veškeré poskytnuté aktualizace

(tj. update/upgrade/patch/hotfix atd.).

6. Odměna za poskytnutí licencí podle této smlouvy je součástí cen podle čl. V této smlouvy.

Článek IX Bezpečnostní požadavky objednatele

1. Dodavatel se zavazuje v plném rozsahu dodržovat bezpečnostní požadavky objednatele, které jsou uvedeny v příloze č. 3 této smlouvy.

2. Dodavatel je v souvislosti s plněním této smlouvy dále povinen postupovat v souladu s obecnými pravidly v oblasti bezpečnosti IT, která tvoří přílohu č. 4 této smlouvy.

Článek X

Osoby dodavatele poskytující plnění

1. Dodavatel se zavazuje, že plnění dle této smlouvy bude poskytováno pouze osobami splňujícími kvalifikaci požadovanou v bodu 7.3 zadávací dokumentace k veřejné zakázce s názvem „Systém pro bezpečnostní monitoring a analýzu síťových událostí“ (dále jen

„veřejná zakázka“), na jejímž základě byla uzavřena tato smlouva, tj. že každá z těchto osob je certifikována k instalaci, implementaci a k provádění technické podpory HW a SW dle této smlouvy, nebo má minimálně 2 roky praxi s instalací a poskytováním provozní podpory HW a SW dle této smlouvy. Požadované certifikáty musejí být platné po celou dobu účinnosti této smlouvy. Dodavatel je povinen kdykoliv po dobu účinnosti této smlouvy na výzvu objednatele tuto skutečnost doložit, a to do 5 pracovních dnů od doručení výzvy.

2. Změna v osobách dle předchozího odstavce poskytujících plnění může být provedena pouze se souhlasem objednatele, a to po splnění kvalifikačních požadavků objednatele ve stejném rozsahu, jaký byl stanoven v zadávacím řízení veřejné zakázky, nebude-li dohodnuto jinak. Odsouhlasení změny bude provedeno e-mailem alespoň jednou pověřenou osobou objednatele, bez povinnosti uzavřít dodatek k této smlouvě.

3. Objednatel si za splnění podmínek dle odstavce 1 tohoto článku vyhrazuje právo požádat o výměnu některé z osob dle odst. 1 tohoto článku z důvodu opakované nespokojenosti s kvalitou jí odváděné práce nebo nedostatečnou komunikací s objednatelem.

4. Za plnění poskytovaná poddodavatelem je dodavatel odpovědný jako by toto plnění poskytoval sám.

Článek XI

Smluvní pokuty, úrok z prodlení

1. V případě, že dodavatel nedodrží kteroukoli lhůtu pro plnění dle čl. III odst. 1 této smlouvy, uhradí objednateli smluvní pokutu ve výši 1 000 Kč za každý započatý pracovní den prodlení.

2. V případě prodlení dodavatele ve lhůtě stanovené pro odstranění drobných vad dle čl. IV odst. 6 této smlouvy je objednatel oprávněn požadovat smluvní pokutu ve výši 500 Kč za každý započatý den prodlení.

3. V případě prodlení dodavatele ve lhůtě pro potvrzení ohlášení podle čl. VI odst. 3 této smlouvy je objednatel oprávněn požadovat smluvní pokutu ve výši 100 Kč za každou započatou pracovní hodinu prodlení.

4. V případě prodlení dodavatele ve lhůtě pro odstranění vady dodaného HW podle článku VI odst. 4 této smlouvy, a to i dohodnuté mezi smluvními staranami, je objednatel oprávněn požadovat smluvní pokutu ve výši 3 000 Kč za každý započatý pracovní den prodlení.

5. V případě prodlení dodavatele ve lhůtě pro uvedení SW a konfigurace do funkčního stavu po odstranění vady dodaného HW podle článku VI odst. 5 této smlouvy, a to i dohodnuté mezi smluvními staranami, je objednatel oprávněn požadovat smluvní pokutu ve výši 3 000 Kč za každý započatý pracovní den prodlení.

6. V případě prodlení dodavatele s poskytnutím aktualizace SW ve lhůtě dle čl. VI odst. 6 této smlouvy, a to i dohodnuté mezi smluvními staranami, je objednatel oprávněn požadovat smluvní pokutu ve výši 500 Kč za každý započatý den prodlení.

7. V případě porušení kterékoliv povinnosti dodavatele dle čl. IX je objednatel oprávněn

požadovat smluvní pokutu ve výši 10 000 Kč za každý jednotlivý případ porušení.

8. V případě porušení kterékoliv povinnosti dodavatele dle čl. X odst. 1 nebo 2 je objednatel oprávněn požadovat smluvní pokutu ve výši 10 000 Kč za každý jednotlivý případ porušení.

9. V případě prodlení dodavatele v kterékoliv lhůtě dle čl. XII odst. 5 nebo 6 této smlouvy je objednatel oprávněn účtovat dodavateli smluvní pokutu ve výši 1 000 Kč za každý započatý pracovní den prodlení.

10. V případě, že se ukáže tvrzení dodavatele uvedené v čl. XII odst. 1, 2 a 4 této smlouvy jako nepravdivé nebo poruší-li dodavatel závazek stanovený v čl. XII odst. 3 této smlouvy, vzniká objednateli nárok na smluvní pokutu ve výši 100 000 Kč za každé jednotlivé nepravdivé tvrzení dodavatele či za každé jednotlivé porušení závazku dodavatele.

11. V případě porušení kterékoliv povinnosti dodavatele podle čl. XII odst. 8 této smlouvy je objednatel oprávněn požadovat po dodavateli smluvní pokutu ve výši 500 Kč, a to za každý zjištěný případ takového porušení.

12. V případě nedodržení jakéhokoliv technického požadavku objednatele dle přílohy č. 2 této smlouvy je objednatel oprávněn požadovat smluvní pokutu ve výši 50 000 Kč za každý zjištěný případ.

13. V případě nedodržení jakéhokoliv technického požadavku objednatele dle přílohy č. 2 této smlouvy je objednatel oprávněn v případě odstoupení od smlouvy ve Fázi 2 nebo Fázi 3 podle čl. XIII odst. 4 požadovat smluvní pokutu ve výši 5 % z celkové nabídkové ceny bez podpory díla uvedené dodavatelem v cenové tabulce, která tvoří přílohu č. 5 této smlouvy.

14. V případě prodlení objednatele s úhradou daňového dokladu má dodavatel právo požadovat úrok z prodlení podle nařízení vlády č. 351/2013 Sb.

15. Smluvní pokuta a úrok z prodlení jsou splatné do 14 dnů ode dne doručení platebního dokladu povinné smluvní straně. Povinnost zaplatit je splněna odepsáním příslušné částky z účtu povinného ve prospěch účtu oprávněného.

16. Smluvní pokutou není dotčeno právo na náhradu škody v plné výši.

Článek XII

Další závazky dodavatele

1. Dodavatel potvrzuje, že ke dni účinnosti této smlouvy on ani jeho poddodavatelé nenaplňují definiční znaky subjektů uvedených v čl. 5k nařízení (EU) č. 833/2014 ze dne

31. července 2014 o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině, ve znění jeho změn (dále také jako „nařízení č. 833/2014“), nebo subjektů uvedených v čl. 1h rozhodnutí Rady 2014/512/SZBP ze dne 31. července 2014

o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině, ve znění jeho změn (dále jen „rozhodnutí 2014/512/SZBP“), kterým je zakázáno zadat či plnit jakoukoli veřejnou zakázku nebo koncesní smlouvu ve smyslu v tomto ustanovení uvedeného nařízení či rozhodnutí. Subjekty naplňující definiční znaky subjektů uvedených v čl. 5k nařízení č. 833/2014 nebo subjektů uvedených v čl. 1h rozhodnutí 2014/512/SZBP budou dále označovány jako „určené subjekty“.

2. Dodavatel dále potvrzuje, že ke dni účinnosti této smlouvy není osobou uvedenou v příloze I nařízení Rady (EU) č. 269/2014 ze dne 17. března 2014 o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost

a nezávislost Ukrajiny, ve znění jeho změn (dále také jako „nařízení č. 269/2014“), nebo v příloze I nařízení Rady (EU) č. 208/2014 ze dne 5. března 2014 o omezujících opatřeních vůči některým osobám, subjektům a orgánům vzhledem k situaci na Ukrajině, ve znění jeho změn (dále také jako „nařízení č. 208/2014“), nebo v příloze I nařízení Rady (ES) č. 765/2006 ze dne 18. května 2006 o omezujících opatřeních vůči prezidentu Xxxxxxxxxxx a některým představitelům Běloruska, ve znění jeho změn (dále také jako „nařízení č. 765/2006“), nebo v příloze rozhodnutí Rady 2014/145/SZBP ze dne 17. března 2014

o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost Ukrajiny, ve znění jeho změn (dále také jako

„rozhodnutí 2014/145/SZBP“). Osoba uvedená v příloze I nařízení č. 269/2014 nebo v příloze I nařízení č. 208/2014 nebo v příloze I nařízení č. 765/2006 nebo v příloze rozhodnutí Rady 2014/145/SZBP bude dále označována jako „určená osoba“.

3. Dodavatel se současně zavazuje, že určeným osobám dle předchozího odstavce (není-li jí sám) nebo v jejich prospěch nezpřístupní žádné finanční prostředky ani hospodářské zdroje získané v souvislosti s plněním dle této smlouvy, a to přímo ani nepřímo.

4. Dodavatel dále potvrzuje, že plnění jím poskytované dle této smlouvy neporušuje žádným způsobem jakékoliv platné právní předpisy vydané zejména orgány Evropské unie [tj. zejména zákazy dovozu výrobků ze železa a oceli ve smyslu nařízení Rady (EU) č. 2022/428 ze dne 15. března 2022, kterým se mění „základní“ nařízení (EU) č. 833/2014, nebo nařízení Rady (EU) č. 2022/355 ze dne 2. března 2022, kterým se mění „základní“ nařízení (ES) č. 765/2006 o omezujících opatřeních vzhledem k situaci v Bělorusku apod.]. Objednatel je oprávněn při porušení této povinnosti dodavatele plnění nepřevzít v jakékoliv jeho části.

5. V případě, že by v průběhu účinnosti této smlouvy dodavatel nebo jeho jakýkoliv poddodavatel naplnili definiční znaky určeného subjektu nebo se dodavatel stal určenou osobou, je dodavatele povinen o takové skutečnosti objednatele bez zbytečného odkladu, nejpozději do 2 pracovních dnů od nastání takové skutečnosti, písemně informovat.

6. Dojde-li za dobu účinnosti této smlouvy ke změnám v kterémkoliv z výše uvedených nařízení Rady (EU) či rozhodnutí Rady nebo k přijetí jakékoliv jiné nové legislativy tak, že bude nezbytné dát tuto smlouvu s nařízením Rady (EU), rozhodnutím Rady nebo jinou novou legislativou do souladu, zavazují se smluvní strany uzavřít písemný dodatek k této smlouvě, jehož předmětem bude úprava či doplnění práv a povinností smluvních stran v rámci této smlouvy (sankční mechanismy či nové možnosti ukončení smlouvy z toho nevyjímaje), a to bez zbytečného odkladu, nejpozději do 15 pracovních dnů poté, co změny nařízení Rady (EU), rozhodnutí Rady či jiná nová legislativa nabydou platnosti, nedohodnou-li se smluvní strany jinak.

7. Vznikne-li objednateli v souvislosti s nepravdivým prohlášením nebo porušením povinností dodavatele dle odstavce 1 až 6 tohoto článku jakákoliv škoda, je dodavatel tuto škodu objednateli povinen v plné výši nahradit.

8. Dodavatel se dále zavazuje, že v souvislosti s plněním této smlouvy:

a) zajistí legální zaměstnávání osob a férové a důstojné pracovní podmínky pro všechny pracovníky podílející se na plnění této smlouvy. Férovými a důstojnými pracovními podmínkami se přitom rozumí takové pracovní podmínky, které splňují alespoň minimální standardy stanovené pracovněprávními a mzdovými předpisy. Dodavatel je povinen zajistit splnění požadavků dle tohoto ustanovení i u svých poddodavatelů;

b) zajistí řádné a včasné plnění finančních závazků vůči svým poddodavatelům,

kdy za řádné a včasné plnění se považuje plné uhrazení poddodavatelem vystavených

faktur za plnění poskytnutá dodavateli v souvislosti s touto smlouvou, a to nejpozději do 14 dnů od obdržení platby ze strany objednatele (pokud již splatnost poddodavatelem vystavené faktury nenastala dříve). Objednatel je oprávněn požadovat předložení dokladů o provedených platbách poddodavatelům.

Článek XIII

Doba trvání smlouvy, výpověď, odstoupení od smlouvy

1. Smlouva se v části poskytování podpory uzavírá na dobu neurčitou.

2. Smlouvu lze v části poskytování podpory ukončit písemnou výpovědí bez uvedení důvodu, která musí být doručena druhé smluvní straně nejpozději 6 měsíců přede dnem uplynutí předplacené doby podpory. Závazek poskytování podpory zaniká uplynutím posledního dne předplacené doby podpory.

3. V případě, že účinnost smlouvy skončí před koncem účtovacího období, vrátí dodavatel

objednateli alikvotní část předplacené ceny podpory.

4. Poruší-li kterákoliv strana podstatným způsobem závazky vyplývající z této smlouvy, má druhá strana právo odstoupit od smlouvy, a to i v části, prostřednictvím písemného odstoupení. Takové odstoupení bude platné a nabude účinnosti dnem jeho doručení druhé smluvní straně.

5. Za podstatné porušení smlouvy strany považují zejména tyto případy:

- ze strany dodavatele:

a) dodaný HW nebo SW nebude splňovat veškeré požadavky objednatele uvedené

v příloze č. 2 této smlouvy,

b) dodavatel bude v prodlení s předáním díla nebo kterékoliv fáze díla dle čl. III odst. 1 delším než 30 pracovních dnů,

c) dodavatel bude v prodlení s odstraněním vady HW dle čl. VI odst. 4 nebo uvedením SW a konfigurace do funkčního stavu dle čl. VI odst. 5 delším než 30 pracovních dnů,

d) nesplnění kterékoliv povinnosti dodavatele dle čl. IX,

- ze strany objednatele:

a) prodlení s úhradou ceny plnění dle této smlouvy delší než 30 dnů.

6. Smluvní strany se dohodly, že je objednatel oprávněn odstoupit od smlouvy kdykoliv v průběhu insolvenčního řízení zahájeného na majetek dodavatele nebo pokud dodavatel vstoupil do likvidace.

7. Objednatel je oprávněn odstoupit od této smlouvy, a to i v její jakékoliv části, v případě, kdy na základě písemné informace od dodavatele či z vlastní iniciativy shledá, že dodavatel nebo jeho kterýkoliv poddodavatel naplnili definiční znaky určeného subjektu nebo dodavatel se stane určenou osobou nebo dodavatel neuzavře dodatek ke smlouvě ve smyslu čl. XII odst. 6 této smlouvy nebo dodavatel poruší povinnost nezpřístupnit jakékoliv určené osobě (není-li jí sám) nebo v její prospěch žádné finanční prostředky ani hospodářské zdroje získané v souvislosti s plněním dle této smlouvy, a to přímo ani nepřímo, nebo povinnost dodat či poskytnout plnění, které neporušuje žádným způsobem jakékoliv platné právní předpisy vydané zejména orgány Evropské unie.

8. Objednatel je oprávněn vypovědět tuto smlouvu, a to i v její jakékoliv části, bez výpovědní

doby v případě, kdy na základě písemné informace od dodavatele či z vlastní iniciativy

shledá, že dodavatel nebo jeho kterýkoliv poddodavatel naplnili definiční znaky určeného subjektu nebo dodavatel se stane určenou osobou nebo dodavatel neuzavře dodatek ke smlouvě ve smyslu čl. XII odst. 6 této smlouvy nebo dodavatel poruší povinnost nezpřístupnit jakékoliv určené osobě (není-li jí sám) nebo v její prospěch žádné finanční prostředky ani hospodářské zdroje získané v souvislosti s plněním dle této smlouvy, a to přímo ani nepřímo, nebo povinnost dodat či poskytnout plnění, které neporušuje žádným způsobem jakékoliv platné právní předpisy vydané zejména orgány Evropské unie. Tato výpověď je účinná dnem jejího doručení dodavateli.

9. Odstoupení od smlouvy se nedotýká nároku na zaplacení smluvní pokuty nebo nároku

na náhradu škody vzniklé porušením smlouvy.

10. Smluvní strany si v souladu s ustanovením § 1992 občanského zákoníku sjednávají, že objednatel je oprávněn zrušit tuto smlouvu zaplacením odstupného ve výši 30 000 Kč na účet dodavatele, a to kdykoli do akceptace Fáze 1. Zrušení smlouvy je účinné zaplacením sjednaného odstupného na bankovní účet dodavatele. Zaplacením odstupného zanikají všechna práva a povinnosti obou smluvních stran vyplývající ze zrušené smlouvy s výjimkou závazku mlčenlivosti dodavatele a případně vzniklé smluvní pokuty a náhrady škody.

Článek XIV

Uveřejnění smlouvy a skutečně uhrazené ceny

1. Dodavatel si je vědom zákonné povinnosti objednatele uveřejnit na svém profilu tuto smlouvu včetně všech jejích případných změn a dodatků a výši skutečně uhrazené ceny za plnění této smlouvy.

2. Profilem objednatele je elektronický nástroj, prostřednictvím kterého objednatel, jako veřejný zadavatel dle zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“), uveřejňuje informace a dokumenty ke svým veřejným zakázkám způsobem, který umožňuje neomezený a přímý dálkový přístup, přičemž profilem objednatele v době uzavření této smlouvy je xxxxx://xxxx.xxx.xx/.

3. Povinnost uveřejňování dle tohoto článku je objednateli uložena § 219 ZZVZ.

4. Uveřejňování bude prováděno dle ZZVZ a příslušného prováděcího předpisu k ZZVZ.

Článek XV Závěrečná ustanovení

1. Smlouva nabývá platnosti a účinnosti dnem podpisu oprávněnými zástupci obou smluvních

stran.

2. Smlouvu je možno měnit nebo doplňovat pouze formou písemných, vzestupně číslovaných dodatků podepsaných oprávněnými zástupci obou smluvních stran, není-li ve smlouvě uvedeno jinak. Dodatek v elektronické podobě se považuje za řádně podepsaný kupujícím/objednatelem, je-li podepsán kvalifikovanými elektronickými podpisy.

3. Závazkový vztah založený touto smlouvou se řídí českým právním řádem, zejména občanským zákoníkem a autorským zákonem.

4. Spory vyplývající z této smlouvy budou řešeny především dohodou smluvních stran. Nebude-li možné dosáhnout dohody, bude spor řešen před místně a věcně příslušným soudem České republiky, a to výlučně podle českého práva.

5. Veškerá komunikace mezi smluvními stranami vztahující se k této smlouvě bude probíhat v českém nebo slovenském jazyce, nebude-li smluvními stranami v konkrétním případě dohodnuto jinak.

6. Odpověď stran této smlouvy podle § 1740 odst. 3 občanského zákoníku s dodatkem nebo odchylkou není přijetím nabídky, ani když podstatně nemění podmínky nabídky.

7. Smluvní strany vylučují uplatnění ustanovení § 1765 a § 1766 a § 2620 občanského zákoníku na svůj smluvní vztah založený touto smlouvou, čímž se ruší nárok dodavatele na jednání podle § 1765 odst. 1 občanského zákoníku. Dodavatel tímto přebírá nebezpečí změny okolností dle § 1765 odst. 2 občanského zákoníku.

8. Práva a povinnosti vzniklé z této smlouvy mohou být postoupeny pouze po předchozím písemném souhlasu druhé smluvní strany.

9. Smlouva je vyhotovena v elektronické podobě, přičemž každá ze smluvních stran obdrží vyhotovení smlouvy opatřené elektronickými podpisy.

10. Nedílnou součástí této smlouvy jsou následující přílohy:

Příloha č. 1 – Specifikace a výčet dodávaných HW komponent a potřebných SW licencí Příloha č. 2 – Technické požadavky objednatele

Příloha č. 3 – Bezpečnostní požadavky objednatele

Příloha č. 4 – Obecná pravidla pro dodavatele v oblasti bezpečnosti IT

Příloha č. 5 – Cenová tabulka

5. 6. 2024 3. 6. 2024

V Praze dne …………. V ................ dne ..................

Za objednatele: Za dodavatele:

……………………………….. ……………………………….

Xxx. Xxxxx Xxxxxxx Xxxxx Xxxxx

ředitel sekce informatiky člen představenstva

podepsáno elektronicky podepsáno elektronicky

………………………………..

Xxx. Xxxxxx Xxxxxx ředitel sekce správní podepsáno elektronicky

Příloha č. 1

Specifikace a výčet dodávaných HW komponent a potřebných SW licencí

PowerEdge R760 - Full Configuration - [EMEA_R760] - XL Quantity: 2
PowerEdge R760 Server	1	[210-BDZY]
Trusted Platform Module 2.0 V3	1	[461-AAIG]
2.5" Chassis with up to 8 NVMe HWRAID Drives, Front PERC 11, 2 CPU	1	[404-BBEF]
Intel® Xeon® Gold 5420+ 2G, 28C/56T, 16GT/s, 52.5M Cache, Turbo, HT (205W) DDR5-4400	1	[338-CHTL]
Intel® Xeon® Gold 5420+ 2G, 28C/56T, 16GT/s, 52.5M Cache, Turbo, HT (205W) DDR5-4400	1	[338- CHTL][379- BDCO]
Heatsink for 2 CPU configuration (CPU greater than 165W)	1	[412-ABCP]
Performance Optimized	1	[370-AAIP]
4800MT/s RDIMMs	1	[370-AHCL]
64GB RDIMM, 4800MT/s Dual Rank	16	[370-AGZR]
C34, RAID 5 with NVMe	1	[379-BEGF]
Front PERC H755N Rear Load	1	[405- AAZE][750- ADWP]
No Hard Drive	1	[400-ABHL]
7.68TB Enterprise NVMe Read Intensive AG Drive U.2 Gen4 with carrier	8	[400-BKGU]
Power Saving Dell Active Power Controller	1	[750-AABF]
UEFI BIOS Boot Mode with GPT Partition	1	[800-BBDM]
High Performance Fan x6	1	[750-ADRE]
Dual, Hot-Plug, Power Supply FTR, 1100W MM (100-240Vac) Titanium, Redundant (1+1)	1	[450-AKKS]
Rack Power Cord 2M (C13/C14 10A)	2	[450-AADY]
Riser Config 5, Half Length, 2x16 FH Slots (Gen4), 2x16 LP Slots (Gen4), 2x16 FH Slots (Gen5)	1	[330-BBYG]
Motherboard supports ONLY CPUs below 250W (cannot upgrade to CPUs 250W and above)	1	[329-BJLS]
Intel E810-XXVDA4 Quad Port 10/25GbE SFP28 Adapter, OCP NIC 3.0	1	[540-BDDU]
LOM Blank	1	[540-BDOW]
Broadcom 5719 Quad Port 1GbE BASE-T Adapter, PCIe Low Profile, V2, FIRMWARE RESTRICTIONS APPLY	1	[540-BDRK]
Intel E810-XXVDA4 Quad Port 10/25GbE SFP28 Adapter, PCIe Full Height	3	[540-BDDR]
No Cables Required, No GPU Blanks	1	[470-AEYU]

PowerEdge 2U LCD Bezel	1	[321- BHMY][325- BETK]
BOSS Blank	1	[329-BERC]
No Operating System	1	[611-BBBF]
No Media Required	1	[605-BBFN]
iDRAC9, Enterprise 16G	1	[528-CTIC]
Server Secured Component Verification	1	[528-COYT]
No Quick Sync	1	[350-BBYX]
iDRAC9 Force Change Password for OCP cards	1	[379-BETE]
iDRAC Group Manager, Disabled	1	[379-BCQY]
ReadyRails Sliding Rails With Cable Management Arm	1	[770- BDRQ][770- BEKK]
Internal USB 3.0 Card	1	[385-BBOW]
No Systems Documentation, No OpenManage DVD Kit	1	[631-AACK]
PowerEdge R760 Shipping EMEA2 (English/Slovenian/Slovakian/Polish/Czech/Hungar/Greek/Arab)	1	[340-DKCG]
PowerEdge R760 Shipping Material	1	[340-DJQY]
PowerEdge R760 CE and CCC Marking, No BIS Marking	1	[343-BBUC]
No HBM	1	[379-BFFD]
Order Configuration Shipbox Label (Ship Date, Model, Processor Speed, HDD Size, RAM)	1	[293-10049]
Decline Selection	1	[817-BBBP]
Basic Next Business Day 36 Months, 36 Month(s)	1	[709-BBIM]
ProSupport and Next Business Day Onsite Service, 48 Month(s)	1	[865- BBMY][865- BBMZ]
No Installation Service Selected (Contact Sales rep for more details)	1	[683-11870]
Asset Tag - ProSupport (Website, barcode, Onboard MacAddress)	1	[293-10025]

PowerEdge R660xs - Full Configuration - [EMEA_R660XS] Quantity: 2
PowerEdge R660xs	1	[210-BFUZ]
Trusted Platform Module 2.0 V3	1	[461-AAIG]
2.5" Chassis with up to 8 Hard Drives (SAS/SATA), 1 CPU, PERC 11	1	[470-AFQK]
Intel® Xeon® Gold 5416S 2G, 16C/32T, 16GT/s, 30M Cache, Turbo, HT (150W) DDR5-4400	1	[338-CHSL]
No Additional Processor	1	[374-BBBX]
Heatsink for 1 CPU configuration (CPU less than or equal to 150W)	1	[338-CHQS]

Performance Optimized	1	[370-AAIP]
4800MT/s RDIMMs	1	[370-AHCL]
16GB RDIMM, 4800MT/s Single Rank	8	[370-AGZO]
C3, RAID 1 for 2 HDDs or SSDs (Matching Type/Speed/Capacity)	1	[780-BCDN]
Front PERC H355 Front Load	1	[405- ABCQ][750- ACFR]
960GB SSD SATA Mix Use 6Gbps 512 2.5in Hot-plug AG Drive, 3 DWPD	2	[400-AZVM]
Power Saving BIOS Setting	1	[384-BBBH]
No Energy Star	1	[387-BBEY]
UEFI BIOS Boot Mode with GPT Partition	1	[800-BBDM]
Standard Fan X5	1	[384-BDII]
iDRAC9, Enterprise 16G	1	[528-CTIC]
Server Secured Component Verification	1	[528-COYT]
Dual, Hot-Plug, Power Supply Fully Redundant (1+1), 700W MM HLAC (ONLY FOR 200-240Vac) Titanium	1	[450-AMJZ]
Rack Power Cord 2M (C13/C14 10A)	2	[450-AADY]
Riser Config 5, Low Profile, 1x16 LP Slots (Gen4) + 1x8 LP Slot (Gen5), 1CPU	1	[330-BCCF]
PowerEdge R660xs Motherboard with Broadcom 5720 Dual Port 1Gb On-Board LOM	1	[384-BDKV]
Intel E810-XXVDA4 Quad Port 10/25GbE SFP28 Adapter, OCP NIC 3.0	1	[540-BDDU]
Broadcom 5719 Quad Port 1GbE BASE-T Adapter, PCIe Low Profile, V2, FIRMWARE RESTRICTIONS APPLY	1	[540-BDRK]
No Quick Sync	1	[350-BCEM]
iDRAC,Factory Generated Password	1	[379-BCSF]
iDRAC Service Module (ISM), NOT Installed	1	[379-BCQX]
iDRAC Group Manager, Enabled	1	[379-BCQV]
LCD Bezel for x8 and x10 chassis	1	[325-BEUF][325- BEUG]
No Operating System	1	[611-BBBF]
No Media Required	1	[605-BBFN]
ReadyRails A11 drop-in/stab-in Combo Rails With Cable Management Arm	1	[770-BCJI][770- BDZL]
Internal USB 3.0 Card	1	[385-BBOW]
OpenManage DVD Kit, R660xs	1	[631-ADPD]
PowerEdge R660XSShipping EMEA2 (English/Slovenian/Slovakian/Polish/Czech/Hungar/Greek/Arab)	1	[340-DLRQ]
PowerEdge R660xs, 8x2.5, Short Drive Shipping Material	1	[340-DFKP]
PowerEdge R660xs, HS5610 Label, CE and CCC Marking, for below 1300W PSU	1	[389-FBMD]
Titanium PSU configuration	1	[389-EFJU]

Order Configuration Shipbox Label (Ship Date, Model, Processor Speed, HDD Size, RAM)	1	[293-10049]
ProSupport and Next Business Day Onsite Service, 48 Month(s)	1	[865- BBMY][865- BBMZ]
Basic Next Business Day 36 Months, 36 Month(s)	1	[709-BBIL]
No Installation Service Selected (Contact Sales rep for more details)	1	[683-11870]

SFP28 SR 10/25GbE Optical Transceiver, Intel, Customer Kit - [GVNIG6Z] Quantity: 1
SFP28 SR 10/25GbE Optical Transceiver, Intel, Customer Kit	16	[407-BCBF]

SFP+, SR, Optical Transceiver, Low Cost, 10Gb-1Gb, Customer Install - [SOT10C] Quantity: 1
SFP+, SR, Optical Transceiver, Intel, 10Gb-1Gb, Customer Install	24	[407-BBVJ]

Lokalita 1 - Prime
Kolektor AiO 10k
MA-SC-10k-SW	GREYCORTEX Mendel perpetuální SW licence: senzor + kolektor / 10Gbps trvalý průtok / 5000 obohacených toků za vteřinu & 10000 NetFlow za vteřinu / 30000 monitorovaných IP adres / Full funkcionalita	1 ks
MA-SC-10k-MS1Y	Roční SW podpora a údržba pro MA-SC-10k-SW	4 ks
Sensor 10k
MA-S-10k-SW	GREYCORTEX Mendel perpetuální SW licence: senzor / 10Gbps trvalý průtok / 5000 obohacených toků za vteřinu & Plná detekční sada	1 ks
MA-S-10k-MS1Y	Roční SW podpora a údržba pro MA-S-10k-SW	4 ks

Lokalita 2 - Spare Box
Kolektor AiO 10k
MA-SC-10k-SW	GREYCORTEX Mendel perpetuální SW licence: senzor + kolektor / 10Gbps trvalý průtok / 5000 obohacených toků za vteřinu	1 ks

	& 10000 NetFlow za vteřinu / 30000 monitorovaných IP adres / Full funkcionalita
MA-SC-10k-MS1Y	Roční SW podpora a údržba pro MA-SC-10k-SW	4 ks
Sensor 10k
MA-S-10k-SW	GREYCORTEX Mendel perpetuální SW licence: senzor / 10Gbps trvalý průtok / 5000 obohacených toků za vteřinu & Plná detekční sada	1 ks
MA-S-10k-MS1Y	Roční SW podpora a údržba pro MA-S-10k-SW	4 ks

3 MD

Školení

Školení je součástí implementace (viz. odkaz cenové tabulky do návrhu smlouvy čl. I odst.

1.).

Technické požadavky objednatele

Příloha č. 2

Požadované funkcionality/vlastnosti	Potvrzení, že nabízené řešení splňuje požadavek, případně vysvětlení, jak je zadání splněno
Systém pro analýzu síťového provozu
Systém složený z hardwarových prvků musí monitorovat síťovou aktivitu v reálném čase. Systém musí identifikovat potenciální kybernetické hrozby, bezpečnostní rizika a anomální chování síťového provozu a musí o nich v reálném čase vytvářet upozornění v centrálním managementu.	ano
Dodaný systém musí analyzovat síť na základě zrcadleného síťového provozu ze SPAN portů síťových prvků, TAPů nebo síťových agregátorů (ne pouze na základě statistických protokolů typu NetFlow/IPFIX) bez nutnosti nasazení agentního software na koncové zařízení nebo další technické zařízení v počítačové síti.	ano
Systém musí analyzovat obsah datových paketů v reálném čase a detekovat protokol nebo aplikaci na základě obsahu provozu prostřednictvím DPI (Deep Packet Inspection), nikoli pouze prostřednictvím získaného čísla portu.	ano
Dodaný systém musí být schopen ukládat a zpracovat informace ze statistických protokolů NetFlow v5/v9 a IPFIX.	ano
Systém musí být schopný zajistit plnou funkcionalitu při získávání, ukládání, analýze a reportování událostí o síťovém provozu bez možnosti přístupu ke vzdálenému cloudovému prostředí.	ano
Aktualizace všech prvků systému musí být proveditelené v air- gapped režimu.	ano
Zpracování a ukládání síťových toků
Systém ukládá síťové toky ve formátu, který umožní analýzu síťové komunikace na úrovni jednotlivých toků, včetně informací o aplikačních transakcích a jejich metadatech z úrovní síťových vrstev L2 až L7, obsažených v daném síťovém toku.	ano
Požadované protokoly pro ukládání aplikačních metadat z jednotlivých transakcí jsou: DHCP, DNS, SMB, HTTP, HTTPS, SMTP, SMTPS, POP3, IMAP, SSH, LDAP, LDAPS, KERBEROS, SNMP, CIFS, MSSQL, RDP, SIP, TELNET, FTP, FTP-DATA, TFTP, TFTP-DATA, NFS, ARP, SSL/TLS zapouzdření.	ano

Je požadováno vysokorychlostní úložiště složené z NVMe disků pro uchování historie datových toků po dobu minimálně 18 měsíců.	ano
Uživatelské rozhraní
Systém musí poskytovat unifikované webové grafické rozhraní pro veškerou práci uživatelů, včetně všech detekcí, analýzy síťových statistik, nastavení systému, konfiguraci alertů, reportů a dashboardů.	ano
Systém musí být schopen vytváření profilů a skupin uživatelů pro omezení funkcionality produktu a viditelnosti uložených dat s podporou minimálně:	ano v plném požadovaném rozsahu
• granulárního nastavení přístupu k analytickým, konfiguračním a administrativním komponentám systému s definovanými úrovněmi přístupu (oprávnění alespoň čtení, zápis a spouštění)	ano
• granulárního nastavení přístupu k datům z různých síťových segmentů organizace s definovanými úrovněmi přístupu (oprávnění alespoň čtení, zápis a spouštění)	ano
• vytváření a ukládání vlastních filtračních dotazů a umožnit jejich sdílení mezi uživateli a skupinami uživatelů	ano
• vytváření vlastních uživatelských pohledů, reportů, dashboardů apod.	ano
Generování automatických hlášení (alertů), notifikace a reportování
Systém musí být schopen upozorňovat uživatele formou e- mailové zprávy a záznamem o všech identifikovaných událostech. Systém musí být schopen filtrovat tyto události minimálně dle IP a MAC adresy, podsítě, závažnosti události, kategorie události, země původu, identifikátoru uživatele, síťové služby (analýza provozu pomocí DPI), čísla portu, provozu do/z internetu.	ano
Tyto upozornění na události musí být systém schopen předat i ve strojově čitelném formátu pro vyžití v nástrojích typu SIEM a musí obsahovat minimálně kompletní informace o detekované události včetně URL odkazu na danou událost v reportovaném období do grafického rozhraní tohoto systému.	ano
Systém musí mít možnost vytváření automatizovaných manažerských reportů o stavu kybernetické bezpečnosti z pohledu zprávy kybernetických incidentů podle oblastí jejich vzniků (např. kategorie: doména, web, email apod.).	ano
Je požadováno vytváření automatizovaných reportů v české lokalizaci.	ano

Integrace systému
Systém musí poskytovat hotové nástroje umožňující integraci se softwarem třetích stran bez použití API systému, a to minimálně:	ano v plném požadovaném rozsahu
• syslog, CEF a LEEF pro export událostí včetně plné podpory filtrů (exportování pouze požadovaných dat)	ano
• přímé URL odkazy na libovolnou obrazovku grafického uživatelského rozhraní a filtrovaná zobrazení v grafickém uživatelském rozhraní	ano
• export informací o toku ve formátu IPFIX nebo podobném formátu včetně plné podpory filtrů (exportovat lze pouze požadovaná data) včetně aplikačních metadat alespoň pro protokoly HTTP, HTTPS a SMTP	ano
• integrace se službami identity uživatelů bez nutnosti konfigurace zasílání logů do systému – minimálně podpora Cisco ISE a Microsoft Active Directory	ano
• integrace s firewally, pro automatické a manuální reakce vyvolané systémem, podpora minimálně řešení společnosti Checkpoint	ano
• integrace s nástroji pro řízení přístupu k síti, pro automatickou a manuální reakci systému, minimálně podpora Cisco ISE	ano
Podpora SDN (softwarově definované sítě)
Systém musí poskytovat integraci s technologií CISCO ACI pro získání informací o EPG (endpoint groups) a EPSG (endpoint security groups).	ano
Systém musí poskytovat aktuální informace o členství jednotlivých zařízení ve skupinách EPG a EPSG. Systém musí umožňovat libovolné filtrování a vyhledávání zařízení pomocí těchto informací.	ano
Systém musí být schopen vizualizovat prostupy zařízení a podsítí dle získaných parametrů EPG a EPSG s možností libovolné další uživatelské filtrace.	ano

Požadavky na HW a architekturu nasazení systému

Požadované funkcionality/vlastnosti	Potvrzení, že nabízené řešení splňuje požadavek, případně vysvětlení, jak je zadání splněno
Obecné požadavky pro nasazení
Pro všechny HW komponenty senzor a kolektor je požadován formát 1U nebo 2U server o velikosti 19“.	ano

Pro všechny HW komponenty je požadován duální zdroj napájení se schopností výměny bez přerušení provozu (technologie „hot-swap“).	ano
Pro všechny HW komponenty systému ( sensor / sonda / kolektor ) je požadováno samostatné síťové rozhraní pro zabezpečenou vzdálenou správu serveru v případě výpadku systému typu (např. ILO, IDRAC, IPMI atd., libovolná technologie dle výrobce HW)	ano
Výkonostní požadavky pro monitorované prostředí
V síti je předpokládáno cca 5000 aktivních zařízení s průměrným celkový průtokem do 10Gbps. Jsou požadovány celkem 2 datové kolektory a 2 sondy/sensory, každý o kapacitě alespoň 10Gbps. V každé lokalitě bude umístěn jeden datový kolektor a jedna sonda nebo sensor (dle terminologie výrobce).	ano
Je požadován 2 kusů hardwarového datového kolektoru. Kolektor musí zároveň fungovat jako sonda nebo sensor (dle termininologie výrobce). Každý kolektor bude navržený tak aby celková propustnost byla minimálně 10 Gbps pro alespoň 5000 hostů včetně monitorovacího rozhraním 16x10/25GE a 2x1GE, dodávka včetně příslušných optických modulů (LC konektor, multimode). Na zařízení je požadována dostupná historie dat minimálně 18 měsíců zpětně, uložená na rychlém úložišti typu NVMe o velikosti alespoň 45TB. Požadován je RAID6 se schopností výměny disků bez přerušení provozu (technologie „hot-swap“). U HW zařízení je požadován 2xCPU a alespoň 1TB RAM.	ano
Je požadováno dodání 2 kusů hardwarového datového sensoru o celkové propustnosti minimálně 10Gbps s monitorovacím rozhraním 4x10/25GE a 2x1GE, včetně optických modulů (LC konektor, multimode).	ano

Požadavky na schopnost detekce bezpečnostních událostí

Požadované funkcionality/vlastnosti	Potvrzení, že nabízené řešení splňuje požadavek, případně vysvětlení, jak je zadání splněno
Monitorování zařízení, segmentů sítě a využívaných síťových služeb
Dodaný systém musí identifikovat všechna zařízení připojená do sítě včetně koncových zařízení, serverů, IoT zařízení a	ano v plném požadovaném

jiných. Zároveň musí být systém schopen identifikovat a oznamovat změny v síti – minimálně:	rozsahu
• změna IP/MAC adresy hosta,	ano
• duplicitní IP/MAC adresa,	ano
• změna VLAN,	ano
• vytvoření nové sítě nebo podsítě,	ano
• připojení nového zařízení,	ano
• použití nebo vznik nové síťové služby,	ano
• nedostupnost dříve dostupné a komunikující služby nebo dříve dostupného a komunikujícího zařízení,	ano
• přístup nového zařízení ke službě či zařízení	ano
• ověřování platnosti interních certifikátu pro validní TLS šifrování u HTTPS a upozornění před datem jejich vypršení.	ano
Systém musí uživateli umožnit pomocí těchto detekčních metod nastavovat bezpečnostní politiky pro různé segmenty sítě a pro různá zařízení a na porušení těchto politik reagovat upozorněním formou nové události a e-mailové notifikace.	ano
Samostatné učení behaviorálních aktivit a detekce anomálií
Systém musí používat matematické metody samostatného učení pro analýzu síťové aktivity, vytvářet a v čase automaticky modifikovat modely chování na základě běžného chování jednotlivých zařízení a na nich provozovaných služeb v rámci celé organizace.	ano
Systém musí mít schopnost na základě matematického modelu konkrétního zařízení a jeho služeb identifikovat nestandardní síťové chování, a to zejména odchylky od modelu normálního chování pro:	ano v plném požadovaném rozsahu
• odchylku od modelu pro přenos dat, toků a paketů,	ano
• odchylku od modelu pro počet komunikačních partnerů v lokální a vzdálené síti,	ano
• odchylku od modelu entropie na komunikačních portech,	ano
• odchylku od modelu pro počet síťových toků a využitých síťových služeb,	ano
• odchylku od modelu výkonnosti monitorované sítě (rychlost přenosu) a provozovaných aplikací (doba odezvy).	ano
Samostatné učení je požadováno na všech síťových zařízeních a na nich provozovaných službách (port číslo 0 až 65535 u TCP i UDP) na IPv4 a IPv6 a dalších protokolech L3 a L4 síťové vrstvy.	ano

Identifikace neznámých hrozeb a podezřelých chování
Systém musí být schopen detekovat neznámé hrozby, které nelze identifikovat prostřednictvím detekčních signatur, jako jsou trojské koně, botnety apod. Zejména musí být identifikovány tyto příznaky potenciálně škodlivého chování:	ano
• průzkumné aktivity a mapování sítě,	ano
• detekce podezřelého strojového chování, které nevytvářejí lidští uživatelé sítě,	ano
• detekce repetitivních vzorců chování v monitorované síti,	ano
• detekce botnetů a vzdáleného ovládání kompromitované stanice,	ano
• detekce příznaků těžení kryptoměn,	ano
• detekce útoků hrubou silou a enumerace dat,	ano
• rozpoznání tunelovaného síťového provozu – alespoň na protokolu IPv4 prostřednictvím protokolu IPv6 a detekce tunelování protokolu DNS.	ano
Detekce na základě databáze známých hrozeb
Systém musí být schopen identifikovat hrozby a reportovat události na základě	ano v plném požadovaném rozsahu
• detekční databáze známých hrozeb, tj. malware (trojské koně, viry, červy, rootkity, apod.), známých útoků (exploity) a zranitelností, porušení bezpečnostních pravidel, „best practices“ a dalších rizik	ano
• reputační databáze známých škodlivých IP adres, TLS certifikátů, záznamů DNS a hostname, URL adres a hashů souborů.	ano
Tyto databáze musí být aktualizované minimálně na hodinové bázi. Nesmí se jednat pouze o volně dostupné/open-source databáze, ale musí se jednat o komerční databázi renomovaného vendora nebo poskytovatele těchto služeb.	ano
Uživatel musí být schopen importovat do systému vlastní záznamy detekčních pravidel v běžne používaných formátech (Snort, Suricata).	ano
Systém musí využívat tyto detekce pro veškerý monitorovaný provoz (na perimetru i v interní síti mezi všemi segmenty), nikoliv pouze pro omezený segment nebo podmnožinu celkové komunikace.	ano
Databáze detekčních pravidel (signatur) musí být založena na pokročilých regulárních výrazech pro zpracování řetězců, které dokáží provádět inspekci veškeré síťové komunikace od síťové vrstvy L2 (Ethernet apod.) po vrstvu L7. Systém musí detekovat	ano

události na základě vysokého počtu signaturních pravidel (minimálně několik desítek tisíc).
Uživatel musí být schopen prostřednictvím webového rozhraní aplikace přidávat vlastní detekční pravidla v praktickém a obecně využívaném formátu bez nutnosti znalosti syntaxe a sémantiky bežně užívaných detekčních pravidel (Snort, Suricata).	ano
Analýza šifrované komunikace Vedle samostatného učení musí systém používat další metody pro analýzu šifrované komunikace, minimálně TLS fingerprinting a s ní spojenou detekci známých hrozeb.	ano
Asistované učení
Je požadován uživatelsky přívětivý proces vytváření pravidel pro zpřesnění detekce událostí (zjištěných signaturně i behaviorálně) a eliminaci falešně pozitivní detekce, a to na základě minimálně následujících parametrů:	ano v plném požadovaném rozsahu
• IP adresa,	ano
• MAC adresa,	ano
• hostname,	ano
• segment sítě / podsíť,	ano
• lokalita – ASN, země, apod.	ano
• směr komunikace – určení klienta, nebo serveru,	ano
• detekovaná událost – kategorie, název apod.	ano
• použité služby, protokolu a portu,	ano
• libovolné kombinaci výše popsaných.	ano
Systém musí být schopen eliminovat falešné alarmy i pro události detekované v historii.	ano

Požadavky na zajištění sííové viditelnosti

Požadované funkcionality/vlastnosti	Potvrzení, že nabízené řešení splňuje požadavek, případně vysvětlení, jak je zadání splněno
Vyhledávání, filtrování a vizualizace dat
Systém musí být schopen zobrazení dat do 30 sekund a to uživatelem definovaných libovolných dat v intervalu 24 hodin bez nutnosti předchozí přípravy. Jedná se o vizualizaci	ano

libovolného grafu, tabulky či jiného datového záznamu s použitím libovolného filtru
Jedná se o možnost okamžitě filtrovat a vyhledávat v plné historii všech uložených dat, tj. ve všech síťových tocích, agregovaných síťových statistikách a bezpečnostních událostech, a to minimálně:	ano v plném požadovaném rozsahu
• podle parametrů IP a MAC adresa, hostname, identifikátoru uživatele, směru síťového provozu (příchozí nebo odchozí provoz), typ síťové služby a rozlišení jestli je zařízení klient nebo server této služby, číslo portu, VLAN, země, ASN,	ano
• prostřednictvím full-textového vyhledávání v datech a vyhledávání na základě definice směru (zdroj, cíl) a logických výrazů and, or, not.	ano
Systém musí pro vyhledávání poskytovat již předpočítané hodnoty výkonnostních a behaviorálních charakteristik pro každé zařízení v síti a pro všechny na něm provozované služby, bez nutnosti zpracování surových dat ze síťových logů.	ano
Systém musí být schopen filtrovat a vizualizovat výsledky v grafech, výčtových tabulkách s možností řazení a TOP N statistikách.	ano
Systém musí být schopen ukládat a následně vyhledávat aplikační metadata (vždy dotaz i odpověď všech transakcí v toku) minimálně z následujících protokolů, které jsou nebo mohou být využívány ve vnitřní síti organizace: FTP, FTP-DATA, TFTP, TFTP-DATA, SSH, Telnet, SMTP, SMTPS, DNS, DHCP, HTTP, HTTPS, NTP, SMB, SNMP, LDAP, NFS, RDP, ARP, MS-SQL, SIP, Kerberos, SSL/TLS. Metadata jsou v tomto případě chápána jako přenášená aplikační metadata nebo vlastní data servisních protokolů. U protokolu HTTP například http hlavička s metodou, URI, host, user-agent, cookies apod. V odpovědi pak návratový kód a další http parametry. Podobní logika musí být uplatněna u ostatních protokolů.	ano
Systém umožnuje provádět uživatelsky jednoduché a okamžité vizualizace síťových prostupů mezi zařízeními a podsítěmi. Využitím uživatelského datového filtru lze bezuprodleně vizualizační pohledy libovolně modifikovat.	ano
Kontextuální informace o monitorovaných zařízeních
Systém musí být schopen pro každé zařízení v monitorované síti získávat, vizualizovat a v jednom grafickém pohledu zobrazovat kontextuální informace:	ano v plném požadovaném rozsahu

• identifikátor uživatele a doplňující informace z doménového řadiče (MS Active Directory), včetně její historie	ano
• hostname zařízení a jeho historie na základě zpracování relevantních dat z DNS a DHCP provozu	ano
• IP geolokace	ano
• IP reputace, vč. údaje, jestli je IP adresa na blacklistu nebo podezřelá	ano
• historie použitých MAC adresa a identifikace výrobce zařízení	ano
• typ operačního systému a informace o jeho historii na zařízení	ano
• uživatelem zadané poznámky a informace k zařízení	ano
• automaticky přiřazené značky/tagy zařízení, které popisují jejich účel a chování – alespoň server doménového řadiče, webový server, poštovní server, server DNS, server SSH, databázový server, tiskárna, administrátorské zařízení, datové úložiště, aktivní dohledy, skenery zranitelností a technologické systémy.	ano
• seznam provozovaných a využívaných služeb (klient a server) u daného zařízení a množství na nich přenesených dat.	ano
• seznam detekovaných bezpečnostních a provozních událostí daného zařízení.	ano
Zaznamenávání, ukládání a zpětná analýza plného provozu	ano
Je požadována možnostahrávání plného síťového provozu (full packet capture) ve formátu PCAP na všech dodaných zařízeních minimálně na základě parametrů: cílová a zdrojová IP/MAC adresa, podsíť, využitý protokol a port, IPv4 nebo IPv6. Zaznamenávání je možno zahájit automaticky dle detekovaných událostí, nebo vyvolat manuálně na základ pokynu operátora.	ano
Je požadována schopnost importu vlastního PCAP souboru prostřednictvím webového rozhraní a jeho zpětná analýza všemi detekčními a analytickými prostředky systému.	ano

Další požadované oblasti využití

Požadované funkcionality/vlastnosti	Potvrzení, že nabízené řešení splňuje požadavek, případně vysvětlení, jak je zadání splněno
Monitorování politik kybernetické bezpečnosti
Systém musí obsahovat modul pro vytváření komplexních komunikačních a bezpečnostních politik, a to minimálně:	ano v plném požadovaném rozsahu
• monitorovat definovanou komunikační matici a detekovat, kdy jsou tyto zásady porušeny. Minimálně možnost definice jaké	ano

zařízení smí komunikovat s jakým zařízením, přes jaký komunikační protokol, v jakých časových oknech
• detekce změn v síti – přinejmenším nové komunikační vektory, nová nebo změněná zařízení a podsítě, obcházení perimetru.	ano
Pro účely monitorování politik kybernetické bezpečnosti musí systém poskytovat uživatelský rámec pro definování pravidel pomocí:	ano v plném požadovaném rozsahu
• uživatelem definované podsítě na základě rozsahů IP adres	ano
• uživatelsky libovolně definovaných skupin zařízení	ano
• automaticky přiřazené značky (tagu) k zařízení. Značky popisují účel a chování služeb na zařízení – systém musí umět automaticky rozlišovat alespoň tyto běžné služby sítě: doménový řadič, webový server, poštovní server, DNS server, SSH server, databázový server, file server (smb, nfs), tiskárna, administrátorské zařízení, aktivní dohledový systém, skener zranitelností a technologické systémy (OT).	ano
Management bezpečnostních událostí a incidentů
Systém musí poskytovat integrovanou funkcionalitu pro reportování bezpečnostních incidentů a musí umožňovat nejméně:	ano v plném požadovaném rozsahu
• možnost spolupráce na incidentu, sdílení informací při analýze identifikovaných incidentů včetně notifikací o úpravě stavu životního cyklu incidentu (příjem řešitelem, předání jinému řešiteli atd.)	ano
• sdílení informací o bezpečnostních incidentech mezi operátory systému s možností doplnění vlastních informací	ano
• možnost vyhledávání a filtrování nad všemi událostmi z pohledu stavu bezpečnostního incidentů (reportovaná událost, událost v řešení, vyřešená událost, události v řešení daného uživatele atd.)	ano
• možnost exportování informací o incidentech (minimálně formát csv a pdf)	ano
Monitoring výkonu aplikací a sítě
Systém v celé monitorované síti, mezi všemi zařízeními a na všech službách měří a vytváří automaticky (bez nutnosti nastavovat manuálně limitní hodnoty) model normálního chování pro výkonnostní parametry minimálně:	ano v plném požadovaném rozsahu
• přenosová rychlost sítě,	ano
• rychlost odezvy aplikace,	ano
• odezva systému z pohledu uživatele.	ano

Výpočet uvedených výkonnostních parametrů a automatické detekce anomálií na základě odchylky od modelu normálního chování musí být prováděna pro:	ano v plném požadovaném rozsahu
• všechny porty a služby TCP,	ano
• pro všechny kombinace služeb a zařízení.	ano
Systém musí v celé monitorované síti, mezi všemi zařízeními a na všech službách měřit informace o retransmission paketech, out of order paketech, TTL, QoS a komunikaci blokované firewally.	ano
Inventarizace a grafická vizualizace topologie monitorované sítě
Systém musí být schopen zobrazit celý inventář monitorované sítě s počtem zařízení v jednotlivých síťových segmentech, podsítích nebo lokalitách. Zobrazení musí obsahovat detailní přehled všech zařízení.	ano
Systém musí být schopen graficky vykreslit topologii celé monitorované sítě, dle zaznamenané komunikace.	ano
Systém musí být schopen zobrazit inventář jednotlivých lokalit, přehledy zjištěných zařízení, přehledy výrobců, tagy zřízení a uživatele.	ano
Systém umožnuje všechny informace invenáře řadit dle různých parametrů.	ano

Bezpečnostní požadavky objednatele

Příloha č. 3

1. Dodavatel odpovídá za to, že do objektů objednatele (dále jen „ČNB“) budou vstupovat nebo vjíždět pouze ti jeho pracovníci, kteří jsou jmenovitě uvedeni v seznamu pracovníků schváleném ČNB (dále jen „seznam“). Tato povinnost se vztahuje i na posádky vozidel dodavatele vjíždějících do garáží ČNB za účelem složení a naložení nákladu. Dodavatel předloží seznam ČNB nejpozději pět pracovních dní před zahájením prací.

2. Seznam bude obsahovat tyto položky: jméno, příjmení a číslo průkazu totožnosti každého z pracovníků dodavatele. Dodavatel se zavazuje zajistit, aby všichni jeho pracovníci uvedení v seznamu byli ještě před předložením seznamu ČNB proškoleni o podmínkách zpracování osobních údajů a o právech subjektů údajů ve smyslu obecného nařízení o ochraně osobních údajů - Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne

27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“). Dodavatel se zejména zavazuje, že všichni jeho pracovníci uvedení v seznamu budou nejpozději do okamžiku předložení seznamu ČNB poučeni:

a) o tom, že dodavatel předá jejich osobní údaje v rozsahu: jméno, příjmení a číslo průkazu totožnosti České národní bance, sídlem Na Příkopě 28, Praha 1 v rámci plnění této smlouvy, a to za účelem ochrany práv a oprávněných zájmů ČNB (zajištění evidence osob vstupujících do budovy ČNB z důvodu ochrany majetku a osob a správy systému kontrol vstupů ČNB);

b) o veškerých právech subjektu údajů, která mohou uplatnit vůči dodavateli a ČNB, zejména o právu na přístup k osobním údajům, které jsou o nich zpracovávány, právu na námitku proti zpracování osobních údajů, právu požadovat nápravu situace, která je v rozporu s právními předpisy, a to zejména formou zastavení nakládání s osobními údaji, jejich opravou, doplněním či odstraněním, jakož i o právu podat stížnost k Úřadu pro ochranu osobních údajů.

3. Za poučení svých pracovníků ponese dodavatel vůči ČNB následně odpovědnost. V případě nesplnění povinnosti podle odst. 2 této přílohy nahradí dodavatel újmu, která v souvislosti s uvedeným ČNB vznikne, a to včetně případné nemajetkové újmy vzniklé poškozením dobrého jména a dobré pověsti, újmy vzniklé v důsledku postihu pravomocně uloženého ČNB správním nebo jiným k tomu oprávněným orgánem veřejné moci a újmy vzniklé ČNB v důsledku úspěšného uplatnění práv pracovníků dodavatele vůči ČNB.

4. Požadavky na případné doplňky a změny schváleného seznamu je nutno neprodleně oznámit ČNB. Případné doplňky a změny seznamu podléhají schválení ČNB. Osoby neschválené ze strany ČNB nemohou vstupovat do objektů ČNB, přičemž ČNB si vyhrazuje právo neuvádět důvody jejich neschválení.

5. Dodavatel uvede předem ty své pracovníky, pro které požaduje vystavení vstupních karet ke vstupu do objektů ČNB. Vystavení vstupních karet podléhá schválení ze strany ČNB. První vstupní karty budou vystaveny na náklady ČNB. Každé další vystavení vstupní karty bude zpoplatněno částkou 200,- Kč (vč. DPH) s tím, že tato částka bude dodavateli vyfakturována. Za vystavení nové vstupní karty nebude nutné platit v případech, kdy:

- dosavadní karta přestane fungovat bez viditelného mechanického poškození,

- dojde ke změně příjmení pracovníka,

- byla karta odcizena a událost je doložitelná protokolem od Policie ČR.

6. Dodavatel bude při zahájení činnosti pro ČNB vybaven základním počtem vstupních karet pro jednotlivé pracovníky podle schváleného seznamu. Vstupní karta umožní oprávněnému pracovníkovi dodavatele samostatný vstup do vyhrazených prostor objektu ČNB a samostatný pohyb v nich. Každá vstupní karta bude nepřenosná a bude vydávána odborem bankovní bezpečnosti a krizového řízení ČNB.

7. Vstupní karty budou vydávány ze strany ČNB pro každého pracovníka dodavatele jednotlivě proti podpisu, a to po předložení výpisu z rejstříku trestů, který nebude starší než tři měsíce. Výpis z rejstříku trestů bude pracovníkovi vrácen. Při převzetí vstupní karty bude dotčený pracovník dodavatele poučen o způsobu používání vstupní karty a o režimu vstupu osob a vjezdu vozidel do objektů ČNB a o pohybu v nich.

8. Pracovník dodavatele, kterému byla vydána vstupní karta, je povinen okamžitě po zjištění ztráty, odcizení, zneužití, zničení nebo poškození vstupní karty, které brání jejímu řádnému užívání, toto oznámit odboru bankovní bezpečnosti a krizového řízení ČNB.

9. Při ukončení pracovního poměru pracovníka dodavatele uvedeného v seznamu nebo při ukončení plnění podle smlouvy je dodavatel povinen neprodleně vrátit vstupní kartu dotčeného pracovníka odboru bankovní bezpečnosti a krizového řízení ČNB.

10. ČNB si vyhrazuje právo nevydat vstupní karty pracovníkům dodavatele bez udání důvodu.

11. ČNB si vyhrazuje právo vstupní kartu pracovníkovi dodavatele odebrat z důvodu porušení režimu vstupu osob a vjezdu vozidel do objektu ČNB nebo porušení režimu pohybu v něm.

12. ČNB si vyhrazuje právo vyřadit i schválené pracovníky dodavatele ze seznamu bez udání důvodů. Schválení pracovníci musí dodržovat směrnice ČNB a pokyny ostrahy pro vstup do vyhrazených prostor a pro pobyt v nich.

13. Pracovníci dodavatele jsou povinni podrobit se při každém vstupu do objektu ČNB bezpečnostní kontrole prováděné bankovními policisty.

14. ČNB si vyhrazuje právo nevpustit do objektů ČNB pracovníka dodavatele, který je zjevně pod vlivem alkoholu, drog nebo jiné omamné látky.

15. Vstup do objektů ČNB se zvířaty je zakázán.

16. Vstup soukromých návštěv do vnitřních prostor objektů ČNB je zakázán. Pro tyto účely je možné využít určené návštěvní místnosti.

17. Dodavatel je povinen zajistit, že jeho pracovníci budou vstupovat do prostorů ČNB a zdržovat se v nich pouze ve firemním pracovním oděvu s viditelným nesnímatelným označením logem dodavatele. Pracovní oděv musí být doplněn viditelně nošenou vstupní kartou vydanou ČNB každému pracovníkovi dodavatele podle schváleného seznamu.

18. Dodavatel a jeho pracovníci budou věnovat při plnění díla v oblasti požární ochrany zvýšenou pozornost:

• dodržování právních předpisů o požární ochraně,

• předpisům ČNB při provádění požárně nebezpečných prací se zvýšeným požárním nebezpečím (svařování, řezání plamenem, pájení, broušení, rozbrušování apod.),

• průrazům a průchodům u rozvodů instalací a technologií hranicemi požárních úseků, včetně zachování, obnovení nebo nového vyhotovení jejich protipožárních ucpávek.

19. Dodavatel se zavazuje zajistit, že jeho pracovníci, jakož i pracovníci případných jeho poddodavatelů, kteří se budou na plnění podle této smlouvy podílet, zachovají mlčenlivost

o všech skutečnostech, se kterými se v průběhu plnění seznámí a které nejsou veřejně známy.

20. Povinnost mlčenlivosti podle odst. 19 této přílohy není časově omezena.

21. V případě mimořádné události se pracovníci dodavatele musí řídit pokyny bankovních policistů nebo dozorujícího zaměstnance ČNB a dále instrukcemi vyhlašovanými vnitřním rozhlasem ČNB.

22. Pracovníci dodavatele nesmí vnášet do prostor ČNB nebezpečné předměty, jako jsou střelné zbraně, výbušniny, hořlavé kapaliny, tlakové lahve apod. O tom, co je či není nebezpečný předmět, rozhodují bankovní policisté v souladu s vnitřními předpisy ČNB.

23. Fotografování a pořizování videozáznamů je ve všech prostorách objektů ČNB zakázáno. Výjimku tvoří pořizování dokumentace technických havárií a poruch. Konkrétní případ musí předem písemně povolit ředitel odboru bankovní bezpečnosti a krizového řízení nebo ředitel příslušné pobočky ČNB.

24. Ve všech prostorách objektů ČNB je přísný zákaz kouření a používání otevřeného ohně. O povolení k provedení požárně nebezpečné práce se zvýšeným požárním nebezpečím požádá dodavatel písemnou formou dozorujícího zaměstnance ČNB, a to vždy nejpozději jeden pracovní den před zahájením prací.

25. Pracovníci dodavatele se musí zdržet poškozování či odcizení majetku ČNB, a dále i jakéhokoli nevhodného chování vůči zaměstnancům a návštěvníkům ČNB.

26. Pracovníci dodavatele uvedení na seznamu se musí před započetím výkonu práce v objektech ČNB prokazatelně seznámit s „Pravidly pro smluvní partnery ČNB k zajištění bezpečnosti a ochrany zdraví při práci, požární ochrany a ochrany životního prostředí v ČNB“ (dále jen „pravidla“). Pravidla předá v listinné formě zástupci dodavatele požární a bezpečnostní technik ČNB. Zástupce dodavatele s pravidly seznámí všechny dotčené pracovníky dodavatele.

27. ČNB je oprávněna v objektu ČNB kdykoliv podrobit kontrole kteréhokoliv pracovníka dodavatele uvedeného na seznamu ohledně dodržování požární ochrany, bezpečnosti práce a všech výše uvedených ustanovení.

Příloha č. 4

Obecná pravidla pro dodavatele v oblasti bezpečnosti IT

1) Pokud jsou tato obecná pravidla v rozporu s ustanovením textu této smlouvy nebo zadávací dokumentace nebo její jinou přílohou, má přednost ustanovení textu této smlouvy nebo zadávací dokumentace nebo její jiná příloha.

2) Dodavatel je povinen zajistit, že jeho pracovníci či poddodavatelé a jejich pracovníci, kteří se budou na plnění podle této smlouvy podílet, zachovají mlčenlivost o všech skutečnostech, se kterými se u objednatele seznámí a které nejsou veřejně dostupné. Povinnost mlčenlivosti není časově omezena.

3) Dodavatel je rovněž povinen chránit informace, které nejsou veřejně dostupné, zejména předanou dokumentaci, před jejich prozrazením a/nebo zpřístupněním neoprávněným osobám a dále použít získané informace výhradně pro účely plnění smlouvy s ČNB.

4) Dodavatel nemá vzdálený přístup k systémům a do počítačové sítě ČNB.

5) Pracovníci dodavatele, kteří budou samostatně přistupovat k informačním systémům a systémovému prostředí ČNB, se před nebo při prvním přístupu musí seznámit s bezpečnostními požadavky a svými povinnostmi vyplývajícími z vnitřních předpisů ČNB.

6) Dodavatel a jeho pracovníci nejsou oprávněni:

a) obcházet bezpečnostní mechanizmy prostředků výpočetní techniky;

b) sdělovat své přístupové údaje k systémům ČNB;

c) sdílet přístup k systémům ČNB (umožnit jinému pracovat pod uživatelovým oprávněním);

d) provádět akce požadované třetí osobou (instalace softwaru, návštěva webových stránek apod.) bez ověření oprávněnosti požadavku.

7) Dodavatel a jeho pracovníci jsou povinni:

a) okamžitě nahlásit sekci informatiky, pokud identifikují možnost obejití bezpečnostních mechanizmů prostředků výpočetní techniky. To neplatí pro dodavatele a uživatele, jejichž předmět smlouvy nebo pracovní náplň obsahuje tuto činnost;

b) při opuštění pracovní stanice stanici uzamknout (např. vytažením multifukčního průkazu ze stanice) nebo se odhlásit a ověřit, že k odhlášení/uzamčení opravdu došlo;

c) bezpečně zlikvidovat nepotřebná výměnná média (např. CD/DVD, flash disk, paměťová karta) prostřednictvím služby HelpDesku;

d) bez prodlení odebrat z tiskárny vytištěné dokumenty, popřípadě pro zajištění důvěrnosti použít zabezpečený tisk, pokud to nastavení tiskárny umožňuje;

e) v případě detekce viru nebo podezření na přítomnost škodlivého kódu neprodleně kontaktovat HelpDesk a stanici kompletně prověřit antivirovým programem za případné spolupráce HelpDesku.

8) Pracovníci dodavatele nesmí:

a) zaznamenávat heslo tak, aby mohlo být snadno identifikováno (týká se i zapisování do elektronických dokumentů, např. Notepad). Pro uchování je možné použít například bezpečné úložiště na čipové kartě uživatele (SmartNotes);

b) používat stejná hesla v systémech ČNB a pro přístup do dalších systémů a aplikací mimo ČNB (např. soukromá e-mailová schránka, Facebook, LinkedIn).

9) Dodavatel a jeho pracovníci nejsou oprávněni:

a) používat soukromou e-mailovou schránku pro činnosti související s plněním dle této smlouvy, kromě výjimečné situace, která nesnese odkladu a při níž hrozí nebezpečí z prodlení v případě nedostupnosti nebo poruchy pracovního e-mailu;

b) nastavovat automatické přeposílání e-mailů z pracovní e-mailové adresy mimo systémové prostředí ČNB;

c) ukládat jiné než veřejné informace mimo úložiště pod správou ČNB (případně pod správou smluvně zajištěného partnera), zejména do cloudových služeb (např. xxxx.xx, xxxxxxxxxxxx.xx, Google Disk, Microsoft OneDrive a další).

10) Dodavatel a jeho pracovníci nejsou oprávněni:

a) nepovoleně používat, kopírovat a šířit software, jako např.:

i) instalovat nebo spouštět na počítačích ČNB soukromě pořízený software (včetně softwaru licencovaného na uživatele jako soukromou osobu);

ii) instalovat nebo spouštět na počítačích ČNB z internetu stažený software (včetně komerčního software, software typu shareware, freeware, public domain a software licencovaného modelem GPL – General Public Licence). To neplatí v případech, kdy předmět této smlouvy obsahuje tuto činnost;

iii) instalovat či přenášet software ve vlastnictví ČNB na jiné počítače ČNB, na své soukromé počítače nebo na počítače třetích stran nebo pořizovat kopie softwaru instalovaného v počítači ČNB. To neplatí

(1) pro situace výslovně schválené a popsané v jiném vnitřním předpisu (např. vzdálený přístup ze zařízení, které není ve vlastnictví ČNB) a

(2) v případech, kdy předmět této smlouvy obsahuje tuto činnost;

b) používat nebo poskytnout neoprávněně jiným uživatelům sériová čísla, licenční klíče, hardwarové klíče nebo jiné technické prostředky sloužící k zajištění ochrany nebo jednoznačné identifikaci vlastníka licence softwaru získané v ČNB;

c) bránit spouštění nástrojů sloužících pro automatizované kontroly nainstalovaného a spouštěného softwaru a provádět činnosti, které by vedly ke zkreslení získaných dat z těchto nástrojů.

Archivace elektronické pošty

1) Zpráva zaslaná tak, že alespoň jedním z adresátů zprávy je emailová adresa ...@xxx.xx,

se ukládá současně s přijetím i do dlouhodobého archivního úložiště.

2) Veškeré zprávy odesílané z emailové adresy ...@xxx.xx se ukládají do dlouhodobého archivního úložiště současně s odesláním.

Kontrola přístupu na Internet

Z důvodu zvláštní povahy činnosti ČNB a z toho plynoucí povinnosti zajištění bezpečnosti informačních systémů ČNB, z nichž některé jsou součástí kritické informační infrastruktury státu, jsou přístupy uživatelů na Internet automaticky zaznamenávány na úrovni domén 2. řádu (tj. např. xxxxx.xx).

Příloha č. 5

CENOVÁ TABULKA
"Systém pro bezpečnostní monitoring a analýzu síťových událostí"
Instalace a implementace	Počet	Cena v Kč bez DPH	Celková cena v Kč bez DPH
Instalace a implementace [dle čl. I odst. 1 smlouvy]	1	594 000,00	594 000,00
Zaškolení	Počet člověkodnů	Cena za 1 člověkoden v Kč bez DPH
Zaškolení pracovníků objednatele [dle čl. II odst. 2 písm. e) smlouvy]	3	0,00	0,00
Dodávka technických prostředků (HW) [dle čl. I odst. 1 smlouvy]	Počet	Cena za 1 ks v Kč bez DPH	Celková cena v Kč bez DPH
HW pro kolektor s veškerým příslušenstvím [dle specifikace přílohy č. 2 smlouvy]	2	865 000,00	1 730 000,00
HW pro sondu / sensor s veškerým příslušenstvím [dle specifikace přílohy č. 2 smlouvy]	2	163 500,00	327 000,00
Dodávka programových prostředků včetně licencí (dle čl. I odst. 1 smlouvy)	Počet	Cena za 1 ks v Kč bez DPH	Celková cena v Kč bez DPH
Licence pro provoz všech požadovaných vlastností kolektoru [dle specifikace přílohy č. 2 smlouvy]	2	911 000,00	1 822 000,00
Licence pro provoz všech požadovaných vlastností sond / sensorů [dle specifikace přílohy č. 2 smlouvy]	2	173 000,00	346 000,00
Podpora výrobce	Počet roků*	Cena za 1 rok v Kč bez DPH	Celková cena v Kč bez DPH za 4 roky
Podpora dodaného HW [dle čl. VI odst. 1 písm. a) smlouvy]	4	0,00	0,00
Podpora dodaného SW [dle čl. VI odst. 1 písm. b) smlouvy]	4	1 320 000,00	5 280 000,00
Podpora dodavatele [dle čl. VI odst. 1 písm. c) smlouvy (paušální cena)]	Počet člověkodnů ročně	Cena za 1 člověkoden v Kč bez DPH	Celková cena v Kč bez DPH za 4 roky
Paušální cena podpory v místě plnění	8	20 000,00	640 000,00
Podpora dodavatele [dle čl. VI odst. 1 písm. c) smlouvy (cena nad paušální cenu)]	Předpokládaný počet hodin ročně**	Cena za 1 hodinu v Kč bez DPH	Celková cena v Kč bez DPH za 4 roky
Podpora v místě plnění nad 8 člověkodnů ročně	16	2 500,00	160 000,00
Celková nabídková cena v Kč bez DPH			10 899 000,00

** Předpokládaný počet hodin je uveden pouze za účelem porovnání nabídek a vychází z předpokládaného čerpání zadavatelem po dobu 4 let. Zadavatel si vyhrazuje právo čerpat tuto podporu dle svých reálných potřeb, tj. přečerpat, nedočerpat, či vůbec nečerpat; skutečné počty hodin se tak mohou od předpokládaného počtu lišit.